{"id":645,"date":"2026-04-23T09:49:43","date_gmt":"2026-04-23T09:49:43","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/gopherwhisper-vinculado-a-china-infecta-12-sistemas-gubernamentales-de-mongolia-con-puertas-traseras-cyberdefensa-mx\/"},"modified":"2026-04-23T09:49:43","modified_gmt":"2026-04-23T09:49:43","slug":"gopherwhisper-vinculado-a-china-infecta-12-sistemas-gubernamentales-de-mongolia-con-puertas-traseras-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/gopherwhisper-vinculado-a-china-infecta-12-sistemas-gubernamentales-de-mongolia-con-puertas-traseras-cyberdefensa-mx\/","title":{"rendered":"GopherWhisper, vinculado a China, infecta 12 sistemas gubernamentales de Mongolia con puertas traseras \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Las instituciones gubernamentales de Mongolia se han convertido en el objetivo de un grupo de amenaza persistente avanzada (APT, por sus siglas en ingl\u00e9s) previamente indocumentado y alineado con China, al que se sigue como TuzaSusurro<\/strong>.<\/p>\n

\u00abEl grupo maneja una amplia gama de herramientas escritas en su mayor\u00eda en Go, utilizando inyectores y cargadores para implementar y ejecutar varias puertas traseras en su arsenal\u00bb, dijo la empresa eslovaca de ciberseguridad ESET. dicho<\/a> en un informe compartido con The Hacker News. \u00abGopherWhisper abusa de servicios leg\u00edtimos, en particular Discord, Slack, Microsoft 365 Outlook y file.io para la comunicaci\u00f3n y la exfiltraci\u00f3n de comando y control (C&C).<\/p>\n

El grupo fue descubierto por primera vez en enero de 2025 tras el descubrimiento de una puerta trasera nunca antes vista con nombre en c\u00f3digo LaxGopher en un sistema perteneciente a una entidad gubernamental de Mongolia. Tambi\u00e9n se descubren como parte del arsenal del actor de amenazas otras familias de malware, en su mayor\u00eda desarrolladas utilizando Golang para recibir instrucciones del servidor C&C, ejecutarlas y enviar los resultados.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El actor de amenazas tambi\u00e9n utiliza una herramienta de recopilaci\u00f3n de archivos para recopilar archivos de inter\u00e9s y extraerlos en formato comprimido al archivo.[.]io para compartir archivos y una puerta trasera en C++ que ofrece control remoto sobre hosts comprometidos.<\/p>\n

Los datos de telemetr\u00eda de ESET muestran que alrededor de 12 sistemas asociados con la instituci\u00f3n gubernamental de Mongolia fueron infectados por las puertas traseras, y el tr\u00e1fico C&C de los servidores Discord y Slack controlados por el atacante indica docenas de otras v\u00edctimas.<\/p>\n

\"\"<\/a><\/div>\n

Actualmente se desconoce exactamente c\u00f3mo obtiene GopherWhisper el acceso inicial a las redes de destino. Pero a un punto de apoyo exitoso le siguen intentos de implementar una amplia gama de herramientas e implantes.<\/p>\n

    \n
  • JabGopher<\/strong>un inyector que ejecuta la puerta trasera LaxGopher (\u00abwhisper.dll\u00bb).<\/li>\n
  • LaxGopher<\/strong>una puerta trasera basada en Go que utiliza Slack para C2 para ejecutar comandos a trav\u00e9s de \u00abcmd.exe\u00bb y publicar los resultados en el canal de Slack, as\u00ed como descargar malware adicional.<\/li>\n
  • Gopher compacto<\/strong>una utilidad de recopilaci\u00f3n de archivos basada en Go lanzada por LaxGopher para filtrar archivos de inter\u00e9s por extensiones (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt y .pptx), comprimirlos en archivos ZIP, cifrar los archivos usando AES-CFB-128 y exfiltrarlos en un archivo.[.]yo.<\/li>\n
  • RataGopher<\/strong>una puerta trasera basada en Go que utiliza un servidor privado de Discord para recibir mensajes de C&C, ejecutar comandos y publicar los resultados en el canal de Discord configurado, as\u00ed como cargar y descargar archivos desde un archivo.[.]yo.<\/li>\n
  • SSLORPuerta<\/strong>una puerta trasera basada en C++ que utiliza OpenSSL BIO para la comunicaci\u00f3n a trav\u00e9s de sockets sin formato en el puerto 443 para enumerar unidades, realizar operaciones de archivos y ejecutar comandos basados \u200b\u200ben la entrada de C&C a trav\u00e9s de \u00abcmd.exe\u00bb.<\/li>\n
  • AmigoEntrega<\/strong>una DLL maliciosa que sirve como cargador e inyector para BoxOfFriends.<\/li>\n
  • cajadeamigos<\/strong>una puerta trasera basada en Go que utiliza la API de Microsoft Graph para crear borradores de correos electr\u00f3nicos para C2 usando credenciales codificadas, con la primera cuenta de Outlook creada para este prop\u00f3sito (\u00abbarrantaya.1010@outlook[.]com\u00bb) creado el 11 de julio de 2024.<\/li>\n<\/ul>\n

    \u00abLa inspecci\u00f3n de la marca de tiempo de los mensajes de Slack y Discord nos mostr\u00f3 que la mayor parte de ellos se enviaban durante el horario laboral, es decir, entre las 8 am y las 5 pm, lo que coincide con la hora est\u00e1ndar de China\u00bb, dijo el investigador de ESET Eric Howard. \u00abAdem\u00e1s, la configuraci\u00f3n regional para el usuario configurado en los metadatos de Slack tambi\u00e9n se configur\u00f3 en esta zona horaria. Por lo tanto, creemos que GopherWhisper es un grupo alineado con China\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    Las instituciones gubernamentales de Mongolia se han convertido en el objetivo de un grupo de amenaza persistente avanzada (APT, por sus siglas en ingl\u00e9s) previamente indocumentado y alineado con China, al que se sigue como TuzaSusurro. \u00abEl grupo maneja una amplia gama de herramientas escritas en su mayor\u00eda en Go, utilizando inyectores y cargadores para […]<\/p>\n","protected":false},"author":1,"featured_media":530,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[200,31,24,2030,363,73,2031,1325,1154,2032,242],"class_list":["post-645","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-china","tag-con","tag-cyberdefensa-mx","tag-gopherwhisper","tag-gubernamentales","tag-infecta","tag-mongolia","tag-puertas","tag-sistemas","tag-traseras","tag-vinculado"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/645","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=645"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/645\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/530"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=645"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=645"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=645"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}