Spionage über Slack und Discord: ESET entdeckt neue Hackergruppe

Die Gruppe, die ESET den Namen "GopherWhisper" gegeben hat, griff nach aktuellen Erkenntnissen unter anderem eine staatliche Einrichtung in der Mongolei an. Ziel war es, unbemerkt Informationen auszuspähen und Systeme dauerhaft zu kontrollieren. "Wenn bekannte Plattformen für Angriffe genutzt werden, fällt es deutlich schwerer, verdächtige Aktivitäten zu erkennen. Sie unterscheiden sich kaum von legitimer Nutzung", sagt ESET-Forscher Erik Howard. "Privatpersonen und Unternehmen müssen deshalb genauer hinschauen, welche Anwendungen in ihrer Umgebung tatsächlich genutzt werden und wie."

ESET entdeckte die Gruppe im Januar 2025. Diese Schadsoftware nannten die Forscher "LaxGopher". Bei weiteren Untersuchungen stießen sie auf zusätzliche Schadprogramme, vor allem weitere Hintertüren, die alle von derselben Gruppe eingesetzt wurden. Die meisten dieser Tools wurden in der Programmiersprache Go entwickelt und dienten zur Cyberspionage.

Laut ESET-Telemetriedaten war eine mongolische Regierungsinstitution konkret von den sogenannten GopherWhisper-Hintertüren betroffen. Durch die Analyse der Kommunikationsdaten (C&C-Traffic) über von den Angreifern genutzte Discord- und Slack-Server geht ESET davon aus, dass neben der mongolischen Behörde noch Dutzende weitere Opfer betroffen waren. Genauere Informationen zu deren Standort oder Branche liegen jedoch nicht vor.

Kommunikation über bekannte Dienste

Besonders auffällig ist die Vorgehensweise der Angreifer. Statt eigene Server zu betreiben, nutzen sie bekannte Dienste wie Slack oder Discord, um ihre Schadsoftware zu steuern und Daten abzuschöpfen. Für Betroffene ist das schwer zu erkennen, da der Datenverkehr wie normale Kommunikation aussieht.

Im Rahmen ihrer Analyse konnten die ESET-Forscher tausende Nachrichten aus den von den Angreifern genutzten Kommunikationskanälen auswerten. Dadurch ließ sich nachvollziehen, wie die Gruppe arbeitet und welche Befehle sie an infizierte Systeme sendet. Die Auswertung zeigt, dass die Angriffe strukturiert ablaufen und über längere Zeit gesteuert werden. Hinweise aus den Daten deuten zudem darauf hin, dass die Aktivitäten zeitlich mit üblichen Arbeitszeiten in China übereinstimmen.

Schadsoftware versteckt sich im Hintergrund

Um Zugriff auf Systeme zu erhalten, setzen die Angreifer verschiedene Schadprogramme ein. Diese laufen unauffällig im Hintergrund und ermöglichen es, Dateien auszulesen, Befehle auszuführen oder weitere Programme nachzuladen. Ein Teil der Schadsoftware kommuniziert direkt über Chatdienste, ein anderer nutzt E-Mail-Funktionen, um Befehle zu empfangen oder Daten zu übertragen.

Der Fall zeigt einen klaren Trend: Angreifer setzen zunehmend auf legitime Dienste, um Sicherheitsmechanismen zu umgehen.

Mehr zu GoverWhipser finden Sie im Security-Blog von ESET: https://www.welivesecurity.com/de/eset-research/gopherwhisper-ein-neues-versteck-voller-malware/

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Christian Lueg Tel.: +49 3641 3114 269 E-Mail: christian.lueg@eset.de Website: www.eset.de