Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

cyber criminali

GopherWhisper: lo spionaggio via Discord e l’uso malevolo di piattaforme legittime

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Secondo ESET Research, il nuovo gruppo cinese GopherWhisper compie attività di cyber spionaggio sfruttando Discord, Slack e Outlook. Ecco come l’uso di servizi di messaggistica e collaborazioone pone sfide ai sistemi di rilevamento

Pubblicato il 24 apr 2026
Laura Teodonno

Senior Security & Osint Analyst, Hermes Bay

Tommaso Diddi

Analista Hermes Bay

GopherWhisper fa spionaggio via Discord: piattaforme legittime come canale per le comunicazioni malevole
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

I ricercatori di ESET hanno identificato un nuovo gruppo APT, denominato GopherWhisper, con caratteristiche che lo distinguono rispetto ai gruppi già noti nel panorama delle minacce avanzate persistenti: l’utilizzo sistematico di piattaforme di comunicazione legittime e diffuse, come Discord, Slack e Microsoft 365 Outlook, per le proprie attività di comando e controllo e per l’esfiltrazione dei dati sottratti alle vittime.

Il gruppo, ritenuto allineato alla Cina sulla base di una serie di elementi tecnici e comportamentali raccolti nel corso dell’indagine, è stato scoperto nel gennaio 2025 e ha preso di mira almeno un ente governativo cinese.

Sospetto cyber attacco cinese contro l’FBI: le analogie con l’intrusione contro il Viminale

Il gruppo cinese GopherWhisper: spionaggio attraverso Discord, Slack e Outlook

Secondo le stime di ESET basate sull’analisi del traffico C&C proveniente dai server Discord e Slack gestiti dagli attaccanti, oltre a questo ente sarebbero state colpite anche decine di altre vittime, delle quali non sono disponibili informazioni sulla posizione geografica o sul settore di appartenenza.

Eric Howard, il ricercatore ESET che ha individuato il gruppo, ha presentato i risultati dell’indagine alla conferenza Botconf 2026. Sono disponibili in forma estesa nel white paper “GopherWhisper: A burrow full of malware” pubblicato su WeLiveSecurity.com.

I 7 tool per l’esfiltrazione dei dati sottratti alle vittime

La scoperta ha origine dal rilevamento di una backdoor precedentemente non documentata, denominata dai ricercatori LaxGopher, individuata all’interno dei sistemi di un ente governativo cinese nel gennaio 2025.

A partire da quel primo elemento, l’analisi ha permesso di ricostruire un set di strumenti più ampio, composto dasette tool distinti, la maggior parte dei quali scritti nel linguaggio di programmazione Go, con l’obiettivo comune dello spionaggio informatico.

Proprio questa scelta tecnologica, unitamente al nome del file whisper.dll individuato nel corso delle indagini, ha ispirato il nome attribuito al gruppo: GopherWhisper, dove il termine “gopher” richiama la mascotte ufficiale del linguaggio Go, mentre “whisper” rimanda direttamente al nome di quel file.

Il set di malware individuato non presentava somiglianze di codice con i tool
di altri soggetti noti né vi era alcuna sovrapposizione nelle tattiche, tecniche e procedure, comunemente indicate con l’acronimo TTP, già associate a gruppi precedentemente tracciati.

Sulla base di questi elementi, ESET ha attribuito gli strumenti a un nuovo gruppo, classificandolo comecluster di attività indipendente da qualsiasi soggetto già documentato.

Quattro backdoor

Dei sette tool identificati, quattro sono backdoor. LaxGopher, RatGopher e BoxOfFriends sono scritte in Go, mentre SSLORDoor è sviluppata in C++.

A completare il quadro vi sono JabGopher, un injector, CompactGopher, uno strumento di esfiltrazione basato su Go, e FriendDelivery, un file DLL dannoso.

La varietà degli strumenti e la loro specializzazione in ruoli distinti mostrano un modus operandi orientato allo spionaggio informatico: dalla distribuzione e iniezione del codice malevolo nei sistemi compromessi fino alla raccolta e all’invio verso l’esterno delle informazioni sottratte, ciascuno dei tool svolge una funzione specifica all’interno del flusso operativo del gruppo.

Injector e loader

Inoltre, gli injector e i loader si impiegano per distribuire ed eseguire le varie backdoor presenti nel loro arsenale, rendendo la catena di infezione modulare e difficile da attribuire a un unico vettore di accesso iniziale.

I loader permettono agli hacker di assicurarsi l’accesso alle reti e ai sistemi target, fare da supporto ad ulteriori tentativi di intrusione e, in ultima fase, a rilasciare pacchetti di dati dannosi.

Spionaggio via Discord: i servizi legittimi per le comunicazioni di C&C

L’elemento per cui GopherWhisper si distingue, come evidenziato dalla stessa ESET, è l’ampio ricorso a servizi legittimi per le comunicazioni di command and control.

Invece di ricorrere a server dedicati, il gruppo ha convogliato le proprie comunicazioni attraverso i canali di Discord e Slack. E, per alcune backdoor specifiche, attraverso bozze di posta elettronica gestite tramite Microsoft 365 Outlook e l’API Microsoft Graph.

La backdoor BoxOfFriends, in particolare, comunicava con la propria infrastruttura di controllo sfruttando proprio questa API, che consente di interagire programmaticamente con le caselle di posta di Microsoft 365.

Per l’esfiltrazione dei file, il gruppo ha inoltre impiegato il servizio file.io. Questa scelta operativa permette di far transitare le comunicazioni malevole attraverso canali che le organizzazioni tendono per definizione a considerare leciti, rendendo più complessa l’individuazione delle attività anomale rispetto all’utilizzo di infrastrutture dedicate e più facilmente riconoscibili.

Una visione interna del nuovo gruppo cinese GopherWhisper

Nel corso dell’indagine, i ricercatori di ESET hanno avuto accesso diretto ai canali Slack e Discord utilizzati dagli attaccanti, dai quali sono stati estratti migliaia di messaggi, ottenendo una visione approfondita del funzionamento interno del gruppo.

L’analisi dei timestamp di quelle comunicazioni ha mostrato che la maggior parte dei messaggi veniva inviata in una finestra oraria compresa tra le 8:00 e le 17:00, corrispondente all’orario lavorativo standard cinese.

A ciò si aggiunge il fatto che i metadati dell’account Slack configurato dagli attaccanti riportavano anch’essi il fuso orario cinese.

Sulla base di questi elementi, ESET ritiene che GopherWhisper sia un gruppo legato alla Cina.

Altri dettagli dello spionaggio via Discord

Un ulteriore dettaglio rilevante – che l’analisi ha permesso di far emergere – è che i server Slack e Discord del gruppo sono servitiinizialmente per testare la funzionalità delle backdoor. E, successivamente, senza cancellare i log, hanno trovato impiego impiegati anche come server C&C operativi per le backdoor LaxGopher e RatGopher su diversi computer compromessi.

Oltre alle comunicazioni su Slack e Discord, i ricercatori sono riusciti ad estrarre i messaggi di posta elettronica utilizzati per la comunicazione tra la backdoor BoxOfFriends e il suo C&C tramite l’API Microsoft Graph.

La mancata eliminazione dei log ha consentito ai ricercatori di ricostruire con notevole dettaglio il funzionamento interno del gruppo, le modalità di sviluppo e test degli strumenti prima dell’impiego operativo, e la progressione delle attività sui sistemi compromessi.

Si tratta di un elemento che ha permesso a ESET di ottenere, come sottolinea Eric Howard, una visione interna del gruppo non comune in questo tipo di indagini.

Il cyber spionaggio e l’uso dei servizi di messaggistica come Discord

La vicenda mette in evidenza una tendenza che i team di sicurezza sono chiamati a considerare con attenzione: l’utilizzo di servizi di messaggistica e collaborazione comunemente adottati in ambito professionale come canale per le comunicazioni malevole pone sfide specifiche ai sistemi di rilevamento, poiché il traffico verso questi servizi tende a essere considerato lecito per definizione.

L’analisi di ESET mostra come questa caratteristica possa essere sfruttata in modo sistematico e continuativo, rendendo opportuno un ripensamento dei criteri con cui si valuta l’anomalia nel traffico di rete, a prescindere dalla reputazione del servizio verso cui quel traffico è diretto.

In questo senso, la documentazione di GopherWhisper contribuisce ad arricchire la conoscenza collettiva sulle tecniche di evasione adottate dai gruppi APT e sulle contromisure che è necessario sviluppare per contrastarle.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

T
Laura Teodonno
Senior Security & Osint Analyst, Hermes Bay
Seguimi su
D
Tommaso Diddi
Analista Hermes Bay

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Agenda di Ricerca e Innovazione per la cybersicurezza

  • ACN e mur

    Agenda di Ricerca e Innovazione 2026: così l’Italia si prepara alle nuove sfide cyber

    23 Gen 2026

    di Chiara Ponti

    Condividi
  • Resilienza infrastrutture critiche linee guida UE

  • linee guida

    Infrastrutture critiche, ecco come l’UE aumenterà la resilienza dei settori vitali

    15 Set 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • Cosa ci insegna la data breach di Acea e cosa lascia l'amaro in bocca

  • sicurezza aziendale

    Cosa insegnano ACEA e il data breach da 2,9 TB di dati

    25 Ago 2025

    di Giuditta Mosca

    Condividi
0
Lascia un commento, la tua opinione conta.x