Webworm APT

رصد باحثو الأمن السيبراني عمليات متجددة مرتبطة بمجموعة التهديد المعروفة باسم "ويب وورم" والموالية للصين، مسلطين الضوء على نشر أبواب خلفية متطورة مصممة خصيصًا تستغل منصة ديسكورد وواجهة برمجة تطبيقات مايكروسوفت جراف للاتصالات والتحكم. ويعكس هذا النشاط الأخير تطورًا أوسع في استراتيجية المجموعة التشغيلية، مع التركيز على التخفي، والبنية التحتية القائمة على الخوادم الوكيلة، وإساءة استخدام المنصات المشروعة لتجنب الكشف.

تهديد مستمر يستهدف القطاعات الحيوية

تم توثيق نشاط برمجية Webworm الخبيثة علنًا لأول مرة في سبتمبر 2022، ويُعتقد أنها نشطة منذ ذلك العام على الأقل. وقد استهدفت هذه المجموعة باستمرار المؤسسات الحكومية والشركات العاملة في قطاعات مثل خدمات تكنولوجيا المعلومات، والفضاء، والطاقة الكهربائية. وتم رصد ضحايا لها في روسيا وجورجيا ومنغوليا والعديد من الدول الآسيوية.

لطالما اعتمد المهاجم على برامج خبيثة للتحكم عن بُعد، مثل Trochilus RAT وGh0st RAT و9002 RAT، المعروف أيضًا باسم Hydraq أو McRat. وقد ربط محللو الأمن نشاط هذه المجموعة بعدة مجموعات مرتبطة بالصين، منها FishMonger وSixLittleMonkeys وSpace Pirates. ومن بين هذه المجموعات، لفتت SixLittleMonkeys الأنظار لاستخدامها برنامج Gh0st RAT وعائلة برامج Mikroceen الخبيثة ضد جهات في آسيا الوسطى وبيلاروسيا وروسيا ومنغوليا.

التحول نحو عمليات أكثر سرية

على مدى العامين الماضيين، تحوّل برنامج Webworm تدريجياً من أطر عمل البرمجيات الخبيثة التقليدية إلى أدوات بروكسي خفية وأدوات شبكات شبه شرعية. ويبدو أن هذا التحوّل يهدف إلى تقليل مخاطر الكشف مع الحفاظ على الوصول المستمر داخل البيئات المخترقة.

في عام 2025، أدخلت المجموعة بابين خلفيين تم تحديدهما حديثًا إلى ترسانتها:

EchoCreep، الذي يستفيد من Discord لعمليات التحكم والقيادة ويدعم عمليات نقل الملفات إلى جانب تنفيذ الأوامر عن بعد من خلال cmd.exe.
GraphWorm، وهو برنامج زرع أكثر تطوراً يتواصل من خلال واجهة برمجة تطبيقات Microsoft Graph ويتيح للمشغلين إنشاء جلسات cmd.exe جديدة، وتشغيل العمليات، وتحميل وتنزيل الملفات من خلال Microsoft OneDrive، وإنهاء تنفيذه الخاص عند تلقي تعليمات المشغل.

لاحظ الباحثون أيضًا استخدام مستودع GitHub مُتخفّيًا على هيئة نسخة مُعدّلة من WordPress لاستضافة برمجيات خبيثة وأدوات مثل SoftEther VPN. تسمح هذه الحيلة للبنية التحتية الخبيثة بالاندماج في أنشطة التطوير المشروعة، مما يُعقّد جهود الكشف. ويتماشى استخدام SoftEther VPN مع الأساليب التي اعتمدتها سابقًا العديد من مجموعات التجسس الإلكتروني الصينية.

توسيع النطاق الجغرافي والبنية التحتية البديلة

تُظهر الحملات الأخيرة التي شنتها شبكة Webworm تركيزًا متزايدًا على الأهداف الأوروبية، بما في ذلك المنظمات الحكومية في بلجيكا وإيطاليا وصربيا وبولندا وإسبانيا، بالإضافة إلى جامعة تقع في جنوب إفريقيا.

في الوقت نفسه، يبدو أن الجهة المهاجمة تتخلى تدريجياً عن عائلات البرامج الضارة القديمة مثل Trochilus و9002 RAT لصالح أطر عمل بروكسي مخصصة وأدوات أنفاق. تشمل الأدوات الإضافية المرتبطة بهذه المجموعة iox وWormFrp وChainWorm وSmuxProxy وWormSocket. وقد وجد المحققون أن WormFrp يسترجع بيانات التكوين من حاوية Amazon S3 مخترقة.

صُممت هذه الأدوات الوسيطة لتشفير الاتصالات ودعم الاتصالات المتسلسلة عبر الأنظمة الداخلية والخارجية، مما يُمكّن المهاجمين من توجيه حركة البيانات عبر عدة مضيفين مع إخفاء أنشطتهم التشغيلية. ويعتقد المحللون أن هذه الأدوات تُستخدم غالبًا مع برنامج SoftEther VPN لزيادة إخفاء تحركات المهاجمين وتعزيز قدرتهم على البقاء.

يكشف نشاط القيادة القائم على منصة ديسكورد عن النطاق العملياتي

كشف تحليل البنية التحتية لـ Discord التي يستخدمها EchoCreep أن حركة مرور الأوامر تعود إلى 21 مارس 2024 على الأقل. وحدد الباحثون 433 رسالة تم إرسالها عبر بيئة C2 الخبيثة القائمة على Discord، مما أثر على أكثر من 50 هدفًا فريدًا.

على الرغم من أن طريقة الوصول الأولية الدقيقة لا تزال مجهولة، فقد اكتشف المحققون أن مشغلي دودة الويب يستخدمون بنشاط أدوات استطلاع واستغلال مفتوحة المصدر مثل dirsearch وnuclei. تُستخدم هذه الأدوات لاختراق أدلة خوادم الويب، وتحديد الملفات المكشوفة، والبحث عن الثغرات الأمنية القابلة للاستغلال.

أدلة ضعيفة تربط دودة الويب بقراصنة الفضاء

على الرغم من بعض أوجه التشابه التشغيلية، يحذر الباحثون من أن الصلة بين دودة الويب ومجموعة قراصنة الفضاء لا تزال غير مؤكدة. ويبدو أن التداخل الحالي يقتصر بشكل أساسي على استخدام برامج التحكم عن بُعد المتاحة للعموم وأنماط الأدوات المشتركة، مع عدم وجود أدلة كافية لإثبات علاقة قاطعة بين مجموعتي التهديد.