Nieuwe GoSerpent-malware richt zich op spionage tegen regeringen en diplomaten in Zuidoost-Azië

Cybersecurity-onderzoekers hebben een voorheen ongedocumenteerde malware ontdekt, genaamd GoSlang die sinds eind 2025 wordt gebruikt bij cyberaanvallen gericht op entiteiten in Zuidoost-Azië, met de nadruk op toegang op lange termijn en het verzamelen van inlichtingen.

Het Russische cyberbeveiligingsbedrijf Kaspersky, dat de activiteit in februari 2026 aan het licht bracht, zei dat het gericht was op overheids- en diplomatieke entiteiten in de regio. GoSerpent is ontworpen om contact op te nemen met een externe server en secundaire payloads in te zetten voor het verzamelen van gevoelige gegevens en het dumpen van inloggegevens op het systeem.

“Uit het monitoren van de activiteiten van deze bedreigingsacteur bleek dat ze in mei 2026 terugkwamen met een geëvolueerde reeks kwaadaardige tools: een nieuwe Stowaway RAT en proxy-tool die leek op de oorspronkelijke malware, evenals een extra sluipende tool om gevoelige gegevens te exfiltreren die de afgelopen paar maanden waren verzameld via netwerkshare”, zei beveiligingsonderzoeker Noushin Shabab.

Het uiteindelijke doel van deze inspanningen is om gevoelige bestanden te verzamelen en deze klaar te maken voor daaropvolgende exfiltratie met behulp van een gegevensverzamelingstool genaamd ThumbcacheService. Bij de aanvallen is ook gebruik gemaakt van tools voor het dumpen van inloggegevens via GoSerpent om systeemreferenties vast te leggen die nodig zijn om gegevensexfiltratie via op het netwerk gedeelde schijven te vergemakkelijken.

Eerdere iteraties van het op Go gebaseerde implantaat en de trojan voor externe toegang (RAT) worden sinds 2021 gebruikt tegen slachtoffers in Zuidoost-Azië, waarbij recente varianten pas dit jaar zijn ingezet.

De malware functioneert door gecodeerde en met Base64 gecodeerde opdrachtregelargumenten te ontvangen die het command-and-control-adres (C2) en het communicatiewachtwoord bevatten. Eenmaal ontsleuteld, maakt de achterdeur verbinding met de C2-server via een gecodeerde verbinding, waarbij de SHA256-hash van het communicatiewachtwoord als coderingssleutel dient.

De lijst met ondersteunde opdrachten vindt u hieronder:

  • Om de server te waarschuwen voor een actieve infectie
  • Begin met luisteren op een specifieke poort
  • Sluit een luisterpoort
  • Maak verbinding met een externe server
  • Spawn een granaat op de geïnfecteerde machine
  • Upload een bestand of map naar de server
  • Downloaden vanaf de server
  • Start een SOCKS5-proxy op de geïnfecteerde machine
  • Doorsturen naar een verbonden knooppunt

“GoSerpent kan SOCKS5-proxyservers opzetten om verkeer door gecompromitteerde hosts te leiden, waardoor aanvallers toegang kunnen krijgen tot andere netwerken terwijl ze hun echte IP-adressen maskeren”, legt Kaspersky uit. “De achterdeur kan aanvullende kwaadaardige tools inzetten, waaronder ThumbcacheService voor het verzamelen van bestanden, Mimikatz voor het dumpen van inloggegevens en QuarksDumpLocalHash voor het extraheren van hash-wachtwoorden voor lokale accounts.”

Enkele van de andere instrumenten die in de loop van de aanvallen zijn ingezet, zijn de volgende:

  • McMx RATeen eenvoudige Go-gebaseerde tool voor proxy en externe toegang die een lichtgewicht versie is van GoSerpent met mogelijkheden zoals SOCKS5-proxying, port forwarding, bestandsoverdracht en externe shell
  • ThumbcacheServiceeen DLL die GoSerpent aanvult met een geavanceerd mechanisme voor bestandsverzameling
  • Mimikatzom geheugen te dumpen uit het LSASS-proces (Local Security Authority Subsystem Service) om inloggegevens te extraheren
  • QuarksDumpLocalHashom lokale accountwachtwoord-hashes uit de SAM-registercomponent te extraheren

Na maanden van geheime gegevensverzameling zouden de bedreigingsactoren achter de activiteit in mei 2026 zijn teruggekeerd naar de gecompromitteerde omgeving om een ​​nieuwe reeks hulpmiddelen in te zetten:

  • Verstekelingeen tool voor proxy en externe toegang met SOCKS5-proxying, port forwarding, reverse tunneling, externe shell-toegang, bestandsoverdracht en op SSH gebaseerde tunnelingfuncties
  • TmcLoadereen C++-ladermodule die een gecodeerde payload bevat genaamd TmcPayload
  • TmcPayloadom opgeslagen gevoelige gegevens van de machine van het slachtoffer te exfiltreren

“Wat deze dreiging bijzonder zorgwekkend maakt, is de strategische inzet van verschillende tools met geavanceerde mogelijkheden voor gegevensverzameling en exfiltratie”, aldus Kaspersky. “De keten van ThumbcacheService tot TmcLoader/TmcPayload demonstreert een geavanceerde operationele planning.”

Hoewel de definitieve toeschrijving op zijn best onduidelijk blijft, zei de beveiligingsleverancier dat de campagne targeting, technische mogelijkheden en operationele overlappingen deelt met TetrisPhantom, een ‘zeer bekwame en vindingrijke dreigingsacteur’ die voor het eerst werd gedocumenteerd in oktober 2023 als gericht op overheidsentiteiten in de regio Azië-Pacific (APAC).

“De aanvaller bespioneerde en verzamelde heimelijk gevoelige gegevens van overheidsinstanties in de APAC-regio door misbruik te maken van een bepaald type veilige USB-drive, beschermd door hardware-encryptie om de veilige opslag en overdracht van gegevens tussen computersystemen te garanderen”, merkte het bedrijf destijds op.

“De campagne bestaat uit verschillende kwaadaardige modules, waarmee de actor uitgebreide controle kan krijgen over het apparaat van het slachtoffer. Hierdoor kunnen ze opdrachten uitvoeren, bestanden en informatie verzamelen van gecompromitteerde machines en deze overbrengen naar andere machines met dezelfde of verschillende beveiligde USB-drives als dragers.”

De onthulling komt op het moment dat Cyderes Howler Cell een gerichte cyberspionageoperatie beschreef, georkestreerd door het DoNot Team, gericht op het leger en de defensie-instellingen van Bangladesh, waarbij gebruik werd gemaakt van spearphishing-e-mails met een met malware doorspekt RTF-document om een ​​DLL-implantaat te droppen dat geplande taakpersistentie instelt, vermomd als OneDrive-telemetrie, profileert de host en beacons naar een C2-server via HTTPS.

“De RTF maakt gebruik van sjablooninjectie op afstand om een ​​VBA-macro op te halen, waarbij geofencing aan de serverzijde de levering van de payload aan slachtoffers binnen de doelregio beperkt”, aldus onderzoekers Reegun Jayapaul, Rahul Ramesh en Baskar M. “Zodra de macro draait, injecteert deze architectuurbewuste shellcode via op callback gebaseerd API-misbruik. De shellcode doorloopt verschillende XOR-gecodeerde fasen, elk opgehaald uit hetzelfde C2-domein onder goedaardig ogende bestandsextensies.”

Het implantaat wordt vervolgens gebruikt om een ​​DLL van de tweede fase (“ejtest.dll”) af te leveren, die modulaire downloadmogelijkheden biedt voor vervolgpayloads. De toeschrijving aan DoNot Team is gebaseerd op vergelijkbare C2 URI-paden, passend AES-sleutelmateriaal, op VBA gebaseerde shellcode-injectie-tradecraft en geofenced payload-levering die schone sjablonen aan niet-doelen levert.

Thijs Van der Does