Netcrook Logo
👤 AGONY
🗓️ 23 Apr 2026   🌍 Asia

Infiltration sur Slack : des hackers liés à la Chine pénètrent le gouvernement mongol via des applications du quotidien

Des enquêteurs révèlent une campagne secrète de cyber-espionnage utilisant des plateformes de messagerie familières pour infiltrer les réseaux de l’État mongol.

Tout a commencé par un contrôle de routine dans le service informatique d’un ministère mongol : quelques ordinateurs lents, des anomalies réseau étranges. Mais ce que les analystes en cybersécurité ont découvert a mis au jour une campagne audacieuse d’espionnage numérique, exploitant les outils professionnels les plus fiables au monde. Les attaquants ne se cachaient pas dans les recoins obscurs du dark web ; ils opéraient à visage découvert, utilisant Slack et Discord - des plateformes connues pour les échanges de bureau ou de jeux vidéo - pour orchestrer leur coup.

L’opération, révélée par la société slovaque de cybersécurité ESET, s’articule autour d’un groupe jusque-là inconnu, baptisé « GopherWhisper ». Actif depuis au moins novembre 2023, les premières traces numériques du groupe ont été repérées en janvier 2025, après la découverte par des analystes d’une porte dérobée mystérieuse - plus tard nommée LaxGopher - sur un réseau gouvernemental mongol. Mais il ne s’agissait pas d’une simple campagne de malware. La sophistication résidait dans l’utilisation par les hackers de technologies légitimes - Slack, Discord et Outlook - transformant des outils de communication ordinaires en centres de contrôle clandestins.

Au lieu de s’appuyer sur des serveurs suspects ou des canaux de commande et contrôle évidents, GopherWhisper se fondait dans le bruit numérique ambiant. Les communications avec les machines compromises passaient par les mêmes applications utilisées pour les réunions de travail ou les discussions informelles, rendant les attaques diaboliquement difficiles à détecter. Des outils sur mesure, principalement codés en langage Go, géraient tout, de l’infection initiale au vol de données. La suite de malwares comprenait des noms comme RatGopher (un outil d’accès à distance), BoxOfFriends, JabGopher (un injecteur), FriendDelivery (un loader) et SSLORDoor (une autre porte dérobée).

Une fois à l’intérieur, les hackers ne se contentaient pas d’observer - ils volaient. Les fichiers sensibles étaient compressés puis exfiltrés à l’aide de CompactGopher, qui transférait le butin sur File.io, un site de partage de fichiers parfaitement légal. Selon ESET, les tactiques et la cible des attaquants évoquent un cas classique de cyber-espionnage, probablement à la recherche de secrets d’État ou de communications sensibles. Si l’ampleur exacte reste floue, les experts estiment que des dizaines d’autres victimes pourraient être concernées, l’étendue réelle étant toujours à l’étude.

Cette campagne met en lumière une tendance inquiétante : à mesure que les organisations adoptent la collaboration dans le cloud, les acteurs malveillants suivent le mouvement, exploitant les mêmes facilités qui rendent le travail moderne possible. Avec des applications familières désormais susceptibles de servir de chevaux de Troie, même les interactions numériques les plus banales exigent une vigilance accrue.

Dans un monde où la frontière entre travail et menace s’estompe, la brèche mongole fait office de signal d’alarme. La prochaine fois que vous enverrez un message sur Slack ou rejoindrez un appel Discord, demandez-vous qui d’autre pourrait écouter - et si vos outils quotidiens sont vraiment aussi sûrs qu’ils en ont l’air.

WIKICROOK

  • Backdoor : Une backdoor est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par des attaquants pour prendre le contrôle en secret.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Loader : Un loader est un logiciel malveillant qui installe ou exécute d’autres malwares sur un système infecté, permettant d’autres cyberattaques ou accès non autorisés.
  • Exfiltration de données : L’exfiltration de données est le transfert non autorisé de données sensibles depuis le système d’une victime vers le contrôle d’un attaquant, souvent à des fins malveillantes.
  • Langage de programmation Go : Go est un langage de programmation rapide et efficace, populaire en cybersécurité pour la création d’outils sur mesure, grâce à sa concurrence, sa portabilité et sa simplicité d’utilisation.
Cyber espionage GopherWhisper Mongolian government
AGONY AGONY
Elite Offensive Security Commander
← Back to news