Die Gruppe hat gezielt Regierungseinrichtungen in der Mongolei infiltriert. Eine technische Analyse vom 23. April 2026 enthüllt ein hochentwickeltes Vorgehen: Die Angreifer nutzen legitime Cloud-Dienste zur Tarnung ihrer Kommandostruktur und setzen vor allem auf die Programmiersprache Go für ihre Schadsoftware.
Entdeckt wurde die Gruppe von Forschern des slowakischen Sicherheitsunternehmens ESET. Die Ermittlungen reichen bis ins Jahr 2023 zurück. Ihre Erkenntnisse präsentierten die Analysten auf der Fachkonferenz Botconf 2026. Demnach gelang es GopherWhisper, durch die Einbettung ihres Datenverkehrs in normale Unternehmensabläufe moderne Erkennungssysteme zu umgehen.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Aktuelle Cyber-Security-Trends jetzt kostenlos entdecken
Die Go-Waffenkammer: Drei Haupt-Backdoors im Einsatz
Der Name GopherWhisper ist eine doppelte Anspielung: auf die Programmiersprache Go (deren Maskottchen ein Gopher ist) und auf eine spezielle Komponente namens whisper.dll. Die Gruppe setzt auf eine breite Palette eigener Werkzeuge für alle Phasen eines Angriffs – von der ersten Infiltration über dauerhafte Hintertüren bis zum Datendiebstahl.
Im Zentrum stehen drei Backdoors: LaxGopher, RatGopher und BoxOfFriends. Sie sind fast alle in Go geschrieben. Diese Sprache wird bei Malware-Entwicklern immer beliebter, weil sie plattformunabhängig läuft und komplexe, leistungsstarke Binärdateien erzeugt, die herkömmliche Antivirenprogramme schwerer analysieren können.
JabGopher fungiert als spezialisierter Injektor, der die LaxGopher-Hintertür in den Arbeitsspeicher eines Zielsystems einschleust. Einmal aktiv, erlaubt LaxGopher den Angreifern, Befehle auszuführen und weitere Schadsoftware nachzuladen. Für die dauerhafte Präsenz und laterale Bewegung im Netzwerk kommt FriendDelivery zum Einsatz – ein Lader, der BoxOfFriends startet. Ergänzt wird das Go-Arsenal durch eine C++-Backdoor namens SSLORDoor, die als redundante Fernsteuerung dient.
Für die letzte Phase ihrer Missionen nutzt GopherWhisper das Werkzeug CompactGopher. Es durchsucht lokale Systeme nach bestimmten Dateitypen – darunter Dokumente, Tabellenkalkulationen und Präsentationen –, komprimiert sie und lädt die gestohlenen Daten auf externe Server hoch. Die ESET-Telemetrie bestätigte, dass während der beobachteten Kampagne mindestens zwölf Systeme einer einzigen mongolischen Regierungsbehörde kompromittiert wurden.
Kommandozentrale in der Cloud: Slack, Discord und Outlook als Tarnung
Was GopherWhisper von anderen Bedrohungen unterscheidet, ist die massive Nutzung legitimer Cloud-Plattformen für die Kommunikation mit den Backdoors. Statt eigener Server, die leicht auffallen, missbraucht die Gruppe kommerzielle Kollaborations- und Dateifreigabedienste.
Die Backdoors sind auf verschiedene Dienste spezialisiert: LaxGopher bezieht seine Befehle aus privaten Slack-Arbeitsbereichen, RatGopher nutzt Discord-Server. BoxOfFriends geht noch raffinierter vor: Es verwendet die Microsoft Graph API, um Befehle über Entwurfsnachrichten in Microsoft-365-Outlook-Konten auszutauschen.
Diese als „Living off trusted services“ bekannte Taktik lässt den Datenverkehr wie legitimen HTTPS-Traffic aussehen. Für Sicherheitsexperten wird die Netzwerküberwachung dadurch erheblich erschwert. Zum Abtransport der gestohlenen Daten nutzt die Gruppe zudem den Dienst file.io als Zwischenlager.
Sicherheitspanne: API-Schlüssel verraten die Angreifer
Doch die Gruppe machte einen schwerwiegenden Fehler. Die ESET-Forscher entdeckten fest codierte API-Tokens und Zugangsdaten direkt in den Schadprogrammen. Mit diesen Schlüsseln konnten sie die privaten Slack- und Discord-Kanäle sowie die Outlook-Konten der Angreifer einsehen.
Die Ausbeute war enorm: Über 6.000 Slack-Nachrichten aus der Zeit ab August 2024 und rund 3.000 Discord-Nachrichten ab November 2023. Noch schwerwiegender: Die Angreifer hatten für Tests und Live-Operationen dieselben Server genutzt, ohne die Protokolle zu löschen. Das lieferte den Forschern ein detailliertes Bild der Malware-Entwicklung und der Aktivitäten nach erfolgreichen Einbrüchen.
Die Zuordnung zu China ergibt sich aus mehreren Metadaten. Die meisten Befehle wurden zwischen 8:00 und 17:00 Uhr in der Zeitzone UTC+8 erteilt – das entspricht der chinesischen Normalzeit. Auch die Slack-Konten waren auf dieselbe Zeitzone eingestellt.
Allerdings betonen die Forscher: GopherWhisper teilt weder Code noch Infrastruktur mit bekannten chinesischen Spionagegruppen wie TA416 oder APT41. Das deutet darauf hin, dass es sich um eine neu entstandene oder bislang isolierte Zelle im Ökosystem der chinesischen Staatshacker handelt.
Trend zur digitalen Parasiten-Strategie
Der Fall GopherWhisper passt zu einem übergreifenden Trend. Der 2026 erschienene RED Report verzeichnet eine deutliche Verschiebung hin zu „digitalen Parasiten“ unter fortgeschrittenen Angreifern. Dieses Modell setzt auf Heimlichkeit und langfristige Präsenz statt auf laute Angriffe wie Ransomware. Demnach haben staatlich gesteuerte Gruppen ihre Taktik geändert: Sie konzentrieren sich auf stillen Datendiebstahl und den Missbrauch vertrauenswürdiger Prozesse.
Die Mongolei als Ziel ist kein Zufall. China-nahe Gruppen beobachten traditionell Nachbarstaaten zu diplomatischen und nachrichtendienstlichen Zwecken. Andere Gruppen wie TA416 haben Anfang 2026 ihre Aktivitäten in Europa und im Nahen Osten wieder aufgenommen – mit verfeinerten Infektionsketten und cloudbasierten Archiven.
Der Missbrauch von legitimen Diensten durch Hacker erfordert neue Abwehrstrategien — erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihre Mitarbeiter für psychologische Manipulationstaktiken sensibilisieren. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Lehren für Unternehmen: Cloud-Dienste als blinde Flecken
Der Fall GopherWhisper zeigt: Die Nutzung legitimer Cloud-Dienste für Angriffe bleibt eine gefährliche Schwachstelle. Da staatliche Hacker zunehmend auf Go setzen und ihre Kommandostrukturen in die Cloud verlegen, reichen traditionelle Sicherheitsmaßnahmen nicht mehr aus.
Experten empfehlen einen Strategiewechsel: Weg von der reinen Perimetersicherheit, hin zur Verhaltensanalyse und Überwachung von API-Interaktionen. Die Tatsache, dass GopherWhisper über zwei Jahre unentdeckt blieb, zeigt, wie schwer es ist, legitime Slack-Updates von Backdoor-Befehlen zu unterscheiden.
Als Konsequenz aus dem ESET-Bericht sollten Unternehmen die Nutzung von Drittanbieter-SaaS-Tokens in ihren Umgebungen überprüfen und strengere Kontrollen für Dateifreigabedienste einführen. Die versehentliche Offenlegung der Zugangsdaten war zwar ein Glücksfall für die Forscher – doch künftige Versionen der GopherWhisper-Werkzeuge werden vermutlich bessere Verschlüsselung und strengere Sicherheitsvorkehrungen enthalten.
