GopherWhisper Terkait China Serang 12 Sistem Pemerintah Mongolia dengan Backdoor Go

Kelompok ancaman lanjutan (APT) yang terkait dengan China, bernama GopherWhisper, telah menyerang sedikitnya 12 sistem di institusi pemerintah Mongolia pada Januari 2025. Aksi ini mengungkap risiko spionase siber yang lebih luas melalui pemanfaatan layanan komunikasi populer seperti Slack dan Discord sebagai kanal kendali jarak jauh (C2).

Modus Operandi GopherWhisper Menggunakan Malware Berbasis Go

Menurut laporan dari perusahaan keamanan siber Slovakia, ESET, yang dibagikan kepada The Hacker News, GopherWhisper menggunakan beragam alat yang sebagian besar dikembangkan dengan bahasa pemrograman Go (Golang). Kelompok ini menerapkan injector dan loader untuk menyebarkan dan menjalankan berbagai backdoor yang mereka miliki.

"Kelompok ini menggunakan beragam alat, sebagian besar ditulis dalam Go, dengan injector dan loader untuk mengimplementasikan berbagai backdoor," ujar ESET dalam laporannya.

Selain itu, GopherWhisper juga menyalahgunakan layanan sah seperti Discord, Slack, Microsoft 365 Outlook, dan file.io untuk komunikasi C2 dan pencurian data.

Varian Malware dan Teknik Eksfiltrasi Data

Penemuan pertama dari kelompok ini adalah backdoor baru bernama LaxGopher pada sistem pemerintah Mongolia. Selain itu, ditemukan beberapa keluarga malware lain yang juga berbasis Go, yang digunakan untuk menerima instruksi dari server C2, mengeksekusi perintah, dan mengirimkan hasilnya kembali ke operator.

Berikut adalah beberapa komponen utama dalam arsenal GopherWhisper:

• JabGopher: Injector yang mengeksekusi backdoor LaxGopher (whisper.dll).
• LaxGopher: Backdoor berbasis Go yang menggunakan Slack untuk perintah dan pengendalian, menjalankan perintah via cmd.exe dan mengirim hasilnya kembali melalui channel Slack, serta mengunduh malware tambahan.
• CompactGopher: Utilitas pengumpulan file yang menyaring file berdasarkan ekstensi (.doc, .jpg, .xls, .txt, .pdf, .ppt), mengompres dan mengenkripsi arsip dengan AES-CFB-128, lalu mengirimkannya ke layanan file.io.
• RatGopher: Backdoor Go lain yang menggunakan server Discord pribadi untuk menerima perintah, menjalankan perintah, dan mengunggah atau mengunduh file melalui file.io.
• SSLORDoor: Backdoor berbasis C++ yang menggunakan OpenSSL BIO pada port 443 untuk menjalankan operasi file dan perintah melalui cmd.exe.
• FriendDelivery: DLL berbahaya sebagai loader dan injector untuk malware BoxOfFriends.
• BoxOfFriends: Backdoor Go yang menggunakan Microsoft Graph API untuk mengirim email draft sebagai kanal C2, menggunakan akun Outlook yang dibuat khusus sejak 11 Juli 2024.

Analisis dan Indikasi Afiliasi China

Data telemetri dari ESET mengindikasikan setidaknya 12 sistem pemerintah Mongolia terinfeksi backdoor tersebut, dan lalu lintas komunikasi C2 yang menggunakan server Discord dan Slack milik penyerang menunjukkan potensi puluhan korban lain.

Meski belum diketahui pasti bagaimana GopherWhisper mendapatkan akses awal ke jaringan target, setelah berhasil masuk, kelompok ini langsung menyebarkan berbagai malware yang terintegrasi erat untuk pengintaian dan pengumpulan data.

"Pemeriksaan waktu pengiriman pesan di Slack dan Discord menunjukkan sebagian besar aktivitas berlangsung antara pukul 08.00 sampai 17.00 waktu kerja, yang sesuai dengan Waktu Standar China. Selain itu, pengaturan lokal pengguna di Slack juga disesuaikan dengan zona waktu tersebut. Kami meyakini GopherWhisper adalah kelompok yang berafiliasi dengan China," jelas peneliti ESET, Eric Howard.

Analisis Redaksi

Menurut pandangan redaksi, serangan GopherWhisper terhadap sistem pemerintah Mongolia adalah contoh nyata bagaimana serangan siber APT semakin canggih dengan eksploitasi alat komunikasi yang umum digunakan. Penggunaan Slack, Discord, dan Microsoft 365 sebagai kanal C2 menunjukkan tingkat adaptasi dan inovasi yang tinggi dalam dunia serangan siber yang berorientasi spionase.

Kejadian ini menggarisbawahi pentingnya institusi pemerintah dan organisasi kritikal lainnya untuk meningkatkan pengawasan dan keamanan pada aplikasi-aplikasi komunikasi yang selama ini dianggap aman dan mainstream. Ancaman tersembunyi melalui aplikasi-aplikasi populer dapat menjadi pintu masuk utama bagi kelompok APT untuk mencuri data dan mengendalikan sistem.

Ke depannya, masyarakat dan pihak berwenang harus waspada terhadap serangan siber yang menggunakan metode penyamaran dan penyalahgunaan layanan umum. Langkah-langkah proteksi menyeluruh dan edukasi keamanan siber menjadi sangat krusial untuk mengantisipasi ancaman yang terus berkembang ini.

Untuk informasi lebih lanjut dan pembaruan terkini mengenai keamanan dunia maya, Anda dapat mengikuti berita di The Hacker News dan sumber terpercaya lainnya.