Activo desde noviembre de 2023, el grupo de amenazas persistentes avanzadas (APT) vinculado a China denominado GopherWhisper ha comprometido múltiples sistemas de instituciones gubernamentales de Mongolia. Según investigadores de ESET, el grupo utiliza una combinación de backdoors escritos en Go junto con cargadores e inyectores personalizados.
Qué ha pasado
Tal y como recoge Dark Reading, GopherWhisper no se apoya en infraestructura propia para sus comunicaciones de mando y control (C2). En su lugar, abusa de servicios legítimos ampliamente utilizados: Microsoft Outlook, Slack, Discord y file.io. Esta táctica le permite mezclar su tráfico malicioso con el tráfico corporativo habitual, dificultando enormemente su detección por parte de soluciones de seguridad basadas en listas de bloqueo o análisis de reputación de dominios.
ESET encontró múltiples sistemas con backdoors instalados en organismos gubernamentales mongoles, aunque el material disponible no especifica el número exacto de entidades afectadas ni los datos concretos exfiltrados.
Cómo funciona técnicamente
El grupo dispone de varios backdoors, cada uno con diferencias técnicas menores entre sí. La distinción principal, según la información publicada, reside en qué servicio cloud utilizan para las comunicaciones C2. Esta diversificación es deliberada: si uno de los canales queda bloqueado o detectado, los atacantes mantienen operativas otras vías de acceso.
El uso de Go como lenguaje base para los backdoors es una tendencia consolidada entre grupos APT, ya que facilita compilar binarios para múltiples plataformas con dependencias mínimas. Los cargadores e inyectores personalizados que acompañan a los backdoors sirven para evadir soluciones antivirus y establecer persistencia en los sistemas comprometidos.
Los actores y el objetivo
GopherWhisper lleva operando desde noviembre de 2023 y tiene como objetivo declarado instituciones gubernamentales de Mongolia. El vínculo con China se establece por los investigadores de ESET, aunque el material disponible no detalla los indicadores técnicos concretos que sustentan esa atribución geopolítica.
Mongolia es un país con una posición geográfica estratégica entre China y Rusia, lo que históricamente ha convertido a sus instituciones en objetivo de operaciones de inteligencia de ambas potencias.
El hecho de que GopherWhisper abuse de plataformas como Slack o Discord —herramientas de uso cotidiano en entornos corporativos— subraya un problema estructural para los equipos de seguridad: bloquear estos servicios tiene un coste operativo elevado, lo que los convierte en vectores atractivos para actores con recursos. ESET publicó sus hallazgos el 23 de abril de 2026.
