En bref

  • ESET révèle un nouveau groupe APT chinois, GopherWhisper, qui a infiltré 12 systèmes gouvernementaux mongols.
  • Le C2 est dissimulé dans Discord, Slack, Microsoft 365 Outlook et file.io pour échapper aux filtrages réseau.
  • L'arsenal repose sur des backdoors Go inédites (LaxGopher, RatGopher, BoxOfFriends) et des dizaines d'autres victimes sont suspectées.

Ce qui s'est passé

ESET Research a publié le 23 avril 2026 un rapport détaillé sur GopherWhisper, un nouveau groupe APT aligné sur les intérêts chinois. La découverte remonte à janvier 2025, quand une backdoor inédite baptisée LaxGopher a été identifiée sur un poste d'une institution gouvernementale mongole. L'enquête a ensuite révélé la compromission de douze systèmes au sein de la même entité.

Le groupe détourne des services légitimes pour ses communications de commande et contrôle. Discord, Slack, Microsoft 365 Outlook et la plateforme file.io servent à la fois de canal C2 et d'exfiltration. En analysant le trafic Slack et Discord, ESET a relevé l'horodatage des messages : ils sont envoyés massivement entre 8 h et 17 h heure de Chine, indice fort sur l'origine opérationnelle du groupe.

L'outillage est presque intégralement développé en Go : LaxGopher comme backdoor principale, RatGopher et BoxOfFriends comme backdoors secondaires, l'injecteur JabGopher, l'outil d'exfiltration CompactGopher et le loader FriendDelivery. S'ajoute une backdoor C++ nommée SSLORDoor. Des dizaines d'autres victimes ont été identifiées dans les journaux C2, sans que leur géographie ait pu être établie à ce stade.

Pourquoi c'est important

GopherWhisper illustre la bascule des groupes étatiques vers des canaux C2 qui se fondent dans le trafic légitime des entreprises. Bloquer Discord, Slack ou Outlook est inenvisageable dans la plupart des réseaux modernes, ce qui neutralise les contrôles périmétriques classiques. La détection passe désormais par l'analyse comportementale des endpoints et la corrélation de patterns d'API plutôt que par les IOC réseau habituels.

Pour les organisations travaillant avec des partenaires en Asie centrale, en Mongolie ou en Russie orientale, l'alerte est d'autant plus sérieuse que la présence confirmée dans un ministère mongol laisse craindre des mouvements latéraux vers les écosystèmes partenaires. La maîtrise du langage Go, réputé pour sa faible détection par les moteurs antivirus historiques, renforce la sophistication du dossier et la durée de persistance potentielle.

Ce qu'il faut retenir

  • GopherWhisper abuse Discord, Slack, Outlook et file.io pour camoufler son C2 dans des flux approuvés.
  • Les backdoors Go passent sous les radars de nombreux EDR classiques encore optimisés pour Windows natif.
  • Surveillez les connexions sortantes vers les API Discord et Slack depuis des hôtes non destinés à ces usages.

Comment détecter un abus de Slack ou Discord comme canal C2 ?

Analysez les logs DNS et proxy pour repérer les appels à discord.com/api ou slack.com/api depuis des serveurs qui n'ont aucune raison fonctionnelle de dialoguer avec ces services. Corrélez avec l'inventaire applicatif : un contrôleur de domaine ou un serveur de fichiers ne doit jamais parler à ces API. Les règles Sigma publiées par les principaux éditeurs peuvent être intégrées rapidement dans un SIEM.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact