WIN_DRV varyantı, 30’dan fazla Komuta ve Kontrol (C&C) komutunu destekliyor. Bu komutlar, sistem bilgisi toplama ve işlem numaralandırmanın yanı sıra hizmet yönetimi ve dosya listeleme, oluşturma, silme ve aktarma gibi dosya yönetimi işlevlerini de kapsıyor. Temel arka kapı işlevselliğine ek olarak, FishMonger’ın arka kapısı, gelişmiş gizlilik için bir çekirdek sürücüsünü silah olarak kullanır. SprySOCKS, bu sürücüyü kötü amaçlı yazılımın ağ bağlantılarını, işlemlerini, dosyalarını ve kayıt defteri anahtarlarını gizlemek için kullanır ve TCP trafiğinin yönlendirilmesini sağlar; böylece kötü amaçlı yazılım operatörleri, ağ trafiğinde arka kapının gerçek dinleme bağlantı noktasını açığa çıkarmadan, kurbanın cihazındaki rastgele bir TCP bağlantı noktası üzerinden arka kapıya komutlar gönderebilir.

FishMonger’ın en son silahlarını keşfeden ve analiz eden ESET araştırmacısı Martin Smolár şu açıklamayı yaptı: “Windows sürümü, C&C protokolü, kullanılan şifreleme ve genel komut işleme mantığı dâhil olmak üzere Linux sürümünün temel mimarisinin çoğunu korurken gerektiğinde Windows’a özgü mekanizmalarla değiştiriyor ve çekirdek sürücüleri devreye sokarak arka kapının gizliliğini artırıyor. UEFI bootkit’in olası katılımına dair sınırlı ipuçları göz önüne alındığında, herkese grubun faaliyetlerini yakından takip etmelerini tavsiye ediyoruz.” 

ESET telemetri verilerine göre, bazı SprySOCKS saldırı senaryolarının, muhtemelen CVE-2023-24932 güvenlik açığını istismar eden bir UEFI bootkit bileşeni içerebileceğine dair sınırlı göstergeler bulunuyor.   I-SOON adlı Çinli bir yüklenici tarafından yönetildiği düşünülen FishMonger, Winnti Grubu çatısı altında yer alan ve büyük olasılıkla Çin’in Chengdu kentinden faaliyet gösteren bir siber casusluk grubu. Bu grup, Earth Lusca, TAG-22, Aquatic Panda veya Red Dev 10 adlarıyla da biliniyor. ESET Research, 2019 Haziran ayında başlayan sivil protestolar sırasında Hong Kong’daki üniversiteleri yoğun bir şekilde hedef alan FishMonger hakkında 2020’nin başlarında bir analiz yayımlamıştı. Grubun ayrıca “watering-hole” saldırıları düzenlediği de bilinmektedir. FishMonger’ın araç seti arasında ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT yer almaktadır.

Siber casusların yeni arka kapısı ortaya çıkarıldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET araştırmacıları, GopherWhisper adını verdikleri, daha önce kayıtlara geçmemiş, Çin ile bağlantılı bir APT grubu keşfettiler. Grup, çoğunlukla Go dilinde yazılmış ve enjektörler ile yükleyiciler kullanarak cephaneliğindeki çeşitli arka kapıları dağıtıp çalıştıran çok çeşitli araçlar kullanıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu hedef aldı. GopherWhisper, komuta ve kontrol (C&C) iletişimi ve veri sızdırma amacıyla Discord, Slack, Microsoft 365 Outlook ve file.io gibi meşru hizmetleri kötüye kullanıyor.

ESET araştırmacıları  bu grubu Ocak 2025’te, Moğolistan’daki bir devlet kurumunun sisteminde daha önce belgelenmemiş bir arka kapı bulduğunda keşfetti  ve bu arka kapıya LaxGopher adını verdi. Daha derinlemesine araştırma yapan ekip, aynı grup tarafından dağıtılan, çoğunlukla çeşitli ek arka kapılar olmak üzere birkaç kötü amaçlı araç daha ortaya çıkardı. Bu araçların çoğu Go dilinde yazılmıştı ve ortak amaçları siber casusluktu.

ESET telemetrisine göre, GopherWhisper arka kapılarından etkilenen kurban bir Moğolistan devlet kurumu. Saldırganlar tarafından işletilen Discord ve Slack sunucularından gelen C&C trafiğini analiz eden ESET, Moğolistan kurumunun yanı sıra onlarca başka kurbanın da etkilendiğini tahmin ediyor; ancak bu kurbanların coğrafi konumları veya sektörleri hakkında herhangi bir bilgiye sahip değil. Keşfedilen yedi araçtan dördü arka kapı: Go dilinde yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ dilinde yazılmış SSLORDoor. Ayrıca ESET, bir enjektör (JabGopher), Go tabanlı bir veri sızdırma aracı (CompactGopher) ve kötü amaçlı bir DLL dosyası (FriendDelivery) buldu.

ESET’in tespit ettiği kötü amaçlı yazılım grubu, bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediği ve başka hiçbir grubun kullandığı taktik, teknik ve prosedürler (TTP’ler) ile de örtüşmediğinden, ESET bu araçları yeni bir gruba atfediyor. Araştırmacılar, grubun araçlarının çoğunun maskotu bir gopher olan Go programlama dilinde yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll dosya adına dayanarak bu gruba GopherWhisper adını verdi.

Yeni tehdit grubunu keşfeden ESET araştırmacısı Eric Howard yaptığı açıklamada; “GopherWhisper, C&C iletişimi için Slack, Discord ve Outlook gibi meşru hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında, binlerce Slack ve Discord mesajının yanı sıra Microsoft Outlook’tan birkaç taslak e-posta mesajını da elde etmeyi başardık. Bu, grubun iç işleyişi hakkında bize büyük bir fikir verdi. Slack ve Discord mesajlarının zaman damgası incelemesi, bunların çoğunun çalışma saatleri içinde, yani Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 arasında gönderildiğini gösterdi. Ayrıca Slack meta verilerinde yapılandırılmış kullanıcının yerel ayarı da bu saat dilimine ayarlanmıştı. Bu nedenle, GopherWhisper’ın Çin merkezli bir grup olduğuna inanıyoruz” dedi.

ESET’in bu araştırmasına göre, grubun Slack ve Discord sunucuları ilk olarak arka kapıların işlevselliğini test etmek, daha sonra ise günlükleri silinmeden, ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher arka kapıları için komuta ve kontrol (C&C) sunucuları olarak kullanıldı. Slack ve Discord iletişimlerine ek olarak, ESET araştırmacıları, Microsoft Graph API’sini kullanarak BoxOfFriends arka kapısı ile C&C’si arasındaki iletişimde kullanılan e-posta mesajlarını da çıkarabildiler.

ESET Research’ten Eric Howard, bu bulguları Botconf 2026 konferansında sundu.

ESET yeni bir siber casusluk grubunu ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.