Mongolie au centre : l’APT chinois “GopherWhisper” sème le chaos dans le cloud lors d’une offensive d’espionnage

À l’ombre numérique de ses puissants voisins, la Mongolie se retrouve le champ de bataille inattendu d’une nouvelle campagne de cyber-espionnage. Le coupable : un groupe de menaces chinois, récemment baptisé “GopherWhisper”, dont la boîte à outils peu conventionnelle s’est discrètement infiltrée au cœur des systèmes gouvernementaux mongols. Leur approche n’est pas une prouesse technologique, mais un usage créatif et acharné des mêmes plateformes cloud utilisées chaque jour par des millions de personnes.

Dans la boîte à outils de GopherWhisper

Lorsque les chercheurs de la société de cybersécurité ESET sont tombés sur GopherWhisper en janvier 2025, ils ont d’abord découvert deux échantillons de malwares : “LaxGopher” et son injecteur, “JabGopher”. Mais ce qui semblait être une découverte simple a rapidement pris de l’ampleur. Au fil des semaines suivantes, pas moins de cinq portes dérobées différentes ont émergé, chacune avec sa propre particularité. De “RatGopher” utilisant Discord, à “BoxOfFriends” dissimulant des communications dans les brouillons d’e-mails Outlook, en passant par “CompactGopher” exfiltrant des fichiers via le service de partage file.io, la créativité de GopherWhisper s’est pleinement révélée.

Il ne s’agit pas d’un travail de génies du crime. Les outils du groupe sont qualifiés de “niveau C”, et des journaux de discussion internes révélés par ESET contenaient même des fichiers intitulés “How to write RATs” - suggérant que les auteurs de GopherWhisper sont encore en apprentissage. Leur véritable innovation réside dans la redondance : en répartissant leurs activités sur plusieurs services cloud, ils augmentent leurs chances d’échapper à la détection et de rebondir rapidement si une méthode est bloquée.

Mongolie : Carrefour cybernétique

Coincée entre la Chine et la Russie, la Mongolie n’est pas étrangère à la pression cybernétique. Si les données locales désignent la Russie comme principale source d’activités malveillantes, les groupes alignés sur la Chine ont à plusieurs reprises ciblé les agences gouvernementales mongoles. Des campagnes précédentes menées par RedDelta et APT27 (Emissary Panda) ont laissé des traces sur l’infrastructure numérique du pays.

Rien qu’en 2024, la Mongolie a subi 1,6 million d’incidents cyber, avec des pertes dépassant 25 millions de dollars. Malgré les efforts récents du gouvernement - dont une nouvelle loi sur la cybersécurité et une stratégie nationale - la digitalisation rapide du pays a dépassé ses défenses. Comme l’a dit un expert local : “Les menaces cyber ne connaissent pas de frontières.”

Conclusion

La campagne de GopherWhisper manque peut-être de sophistication technique, mais ses tactiques persistantes et mobiles dans le cloud annoncent une nouvelle ère d’espionnage agile et tenace. Pour la Mongolie, la leçon est claire : sur le champ de bataille cybernétique en mutation, même des menaces de second rang peuvent causer des dégâts de premier ordre - surtout lorsque les plateformes les plus répandues du monde deviennent des outils de sabotage clandestin.

WIKICROOK

• Advanced Persistent Threat (APT) : Une menace persistante avancée (APT) est une cyberattaque prolongée et ciblée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
• Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
• Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
• Exfiltration : L’exfiltration est le transfert non autorisé de données sensibles du réseau d’une victime vers un système externe contrôlé par des attaquants.
• Injecteur de malware : Un injecteur de malware est un outil qui charge secrètement du code malveillant dans des systèmes ou des processus, permettant aux cybercriminels de compromettre, voler des données ou perturber des opérations.