一般来说，为了掩盖攻击活动不被发现，黑客经常利用合法服务进行隐蔽通信，其中一种常见手段是微软的Graph API。此前，许多Windows恶意软件已滥用该服务建立命令与控制（C2）通信，而最近，Linux恶意软件也开始采用这一手法，引发广泛关注。

赛门铁克与Carbon Black威胁猎捕团队发现，APT组织Harvester近期开发了一款名为GoGra的Linux后门程序。该恶意软件具备高度隐蔽性，通过滥用微软Graph API和Outlook邮箱服务建立C2通信，疑似旨在印度和阿富汗开展网络间谍活动。该组织的活动最早可追溯至2021年，当时主要使用名为Graphon的后门攻击Windows系统。GoGra的出现表明Harvester已转向跨平台攻击策略。

在攻击过程中，Harvester采用社会工程手段，向目标用户发送伪装文件，以此获取对受害组织网络的初始访问权限。他们将恶意ELF文件伪装成文档，通过添加类似“.pdf”的扩展名，并在文件名末尾插入空格，诱导系统将其作为Linux二进制文件执行。这些伪装文件大多显示为PDF格式，部分则伪装成开放文档格式（ODT）文件。最终在受害主机上植入约5.9 MB的i386架构可执行文件。

GoGra最显著的特征是滥用微软的云基础设施。其内置特定的Azure AD应用程序凭证，包括租户ID、客户端ID及密钥信息，使后门能够向微软申请OAuth2访问令牌。

该后门的C2通信机制基于开放数据协议（OData）查询，每2秒检查邮箱中名为“Zomato Pizza”的文件夹。一旦发现主题以“input”开头的邮件，GoGra便会使用AES-CBC加密算法对经Base64编码的邮件内容进行解密，并在主机上执行从C2服务器下发的负载。