資安威脅再升級。斯洛伐克資安公司ESET近日揭露一個全新高級持續性威脅（APT）組織「GopherWhisper」，該組織疑似與中國有關，透過Discord、Slack、Microsoft 365 Outlook及file.io等合法服務進行指揮與控制（C&C）通訊及資料竊取，展現高度隱匿性與技術複雜度。

研究指出，該組織自2023年11月起持續活躍，透過分析聊天紀錄與郵件時間戳，研判其運作時間與中國標準時區高度吻合，顯示行動可能來自中國境內。ESET研究員Eric Howard表示，團隊在調查過程中擷取數千筆Slack與Discord訊息，以及部分Outlook郵件草稿，進一步掌握其內部運作模式。

GopherWhisper採用多種自製惡意工具，且多以Go語言開發，透過注入器與載入器部署後門程式，進行長期網路滲透與情報蒐集。2025年1月，研究人員於蒙古一處政府機構系統中發現一款未曾記錄的後門程式「LaxGopher」，可透過Slack進行遠端控制，執行命令、竊取資料並下載其他惡意載荷。進一步分析顯示，除該機構外，可能已有數十個組織遭受相同攻擊。

目前已確認的工具共7種，其中包含4款後門程式，包括LaxGopher、RatGopher、BoxOfFriends及以C++撰寫的SSLORDoor；另有注入工具JabGopher、資料竊取程式CompactGopher，以及惡意動態連結庫FriendDelivery。值得注意的是，這些工具在程式碼與攻擊手法上，與既有已知威脅組織並無重疊，使其被歸類為全新威脅類型。

調查亦發現，該組織最初利用Discord與Slack伺服器測試惡意程式功能，隨後直接用於多台受感染裝置的C&C通訊，且未清除相關操作紀錄，間接暴露其行動軌跡。此外，研究人員亦透過Microsoft Graph API分析電子郵件通訊內容，確認後門程式與控制伺服器之間的聯繫模式。

資安專家指出，GopherWhisper利用合法平台掩護惡意行為的策略，顯示網路攻擊手法正朝更隱蔽與分散化發展，對政府與企業資安防護形成新挑戰。