Netcrook Logo
👤 AGONY
🗓️ 25 Apr 2026   🌍 Asia

“GopherWhisper” al descubierto: Hackers vinculados a China convierten aplicaciones cotidianas en armas para infiltrarse en gobiernos

Un nuevo grupo APT chino aprovecha Slack, Discord y servicios de Microsoft para infiltrarse sigilosamente en redes gubernamentales, generando alarma sobre la difusa línea entre la actividad digital legítima y la maliciosa.

Todo comenzó con un susurro: una leve anomalía en las redes gubernamentales de Mongolia. Pero lo que los investigadores hallaron fue una sofisticada campaña de ciberespionaje oculta a plena vista, orquestada no con servidores personalizados ni malware exótico, sino con herramientas que la mayoría de los empleados de oficina utilizan a diario. El recién descubierto grupo GopherWhisper, operando desde China, ha redefinido el arte de camuflarse, explotando plataformas populares de comunicación y compartición de archivos para burlar las defensas digitales y saquear datos sensibles.

Dentro del ataque: cuando las plataformas cotidianas se vuelven peligrosas

La investigación comenzó cuando la firma de ciberseguridad ESET se topó con una puerta trasera basada en Go - luego llamada LaxGopher - insertada en los sistemas de una agencia gubernamental de Mongolia. Lo que diferenciaba a este malware no era solo su código, sino su astuto uso de Slack, una plataforma de chat laboral, para transmitir comandos y extraer documentos sensibles. En lugar de depender de servidores sospechosos y fácilmente bloqueables, el malware de GopherWhisper se comunicaba a través de canales familiares y confiables.

Al profundizar, ESET descubrió todo un arsenal. LaxGopher podía ejecutar comandos del sistema, enumerar archivos y descargar cargas adicionales - todo mientras se mimetizaba con el tráfico normal de la red. Su compañero, CompactGopher, comprimía y subía los archivos robados a la API pública de file.io, haciendo que la exfiltración fuera casi invisible entre los flujos de datos legítimos.

Pero el grupo no se detuvo en Slack. RatGopher, otra puerta trasera basada en Go, utilizaba Discord - favorito entre gamers y comunidades tecnológicas - para el comando y control secreto. Mientras tanto, SSLORDoor, escrito en C++, empleaba sockets TCP sin procesar y OpenSSL para comunicaciones encubiertas, y BoxOfFriends explotaba la API de Microsoft Graph para exfiltrar datos mediante borradores de mensajes de Outlook, una técnica rara vez vista en la práctica.

Para evadir la detección, GopherWhisper recurría a la inyección en memoria, ejecutando su malware dentro de procesos legítimos de Windows. Cada herramienta desplegada tenía un rol específico, desde el robo de datos hasta el mantenimiento de la persistencia, todo coordinado a través de plataformas ampliamente utilizadas que los equipos de seguridad suelen dudar en bloquear.

Aunque solo se confirmó la infección de una docena de sistemas en Mongolia, la amplitud del arsenal de GopherWhisper sugiere que decenas de organizaciones más podrían estar en riesgo. Los analistas de ESET, al no encontrar coincidencias con otros grupos conocidos, clasificaron a GopherWhisper como un actor de amenazas nuevo y distinto.

Reflexiones: cuando la confianza se convierte en arma cibernética

La campaña de GopherWhisper es un recordatorio contundente de que la línea entre el uso legítimo y malicioso de los servicios digitales se está desdibujando. A medida que los atacantes convierten en armas las mismas herramientas que impulsan los entornos laborales modernos, los defensores deben replantearse qué significa “normal”. En la era de los APTs sigilosos, la vigilancia implica cuestionar incluso las conexiones más confiables.

WIKICROOK

  • APT (Amenaza Persistente Avanzada): Una Amenaza Persistente Avanzada (APT) es un ciberataque dirigido y de largo plazo realizado por grupos expertos, a menudo respaldados por estados, cuyo objetivo es robar datos o interrumpir operaciones.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • Puerta trasera: Una puerta trasera es una forma oculta de acceder a una computadora o servidor, eludiendo los controles de seguridad normales, utilizada frecuentemente por atacantes para obtener control secreto.
  • Inyección en memoria: La inyección en memoria ocurre cuando los atacantes cargan código malicioso directamente en la memoria de una computadora, dificultando que las herramientas antivirus lo detecten o bloqueen.
  • OpenSSL: OpenSSL es un conjunto de herramientas de código abierto ampliamente utilizado que permite comunicaciones en línea seguras y cifradas mediante los protocolos SSL y TLS.
GopherWhisper Cyber-espionage APT group
AGONY AGONY
Elite Offensive Security Commander
← Back to news