Webworm Apt
Investigadors de ciberseguretat han identificat operacions renovades vinculades al grup d'amenaces alineat amb la Xina conegut com a Webworm, destacant el desplegament de sofisticades portes del darrere personalitzades que abusen de Discord i l'API de Microsoft Graph per a les comunicacions de comandament i control (C2). L'última activitat reflecteix una evolució més àmplia en l'estratègia operativa del grup, emfatitzant la furtivitat, la infraestructura basada en proxy i l'ús indegut de plataformes legítimes per evadir la detecció.
Taula de continguts
Una amenaça persistent dirigida a sectors crítics
Documentat públicament per primera vegada el setembre de 2022, es creu que Webworm ha estat actiu des d'almenys aquell any. El grup ha atacat constantment institucions governamentals i organitzacions empresarials que operen en sectors com els serveis informàtics, l'aeroespacial i l'energia elèctrica. S'han identificat víctimes a Rússia, Geòrgia, Mongòlia i diversos països asiàtics.
L'actor de l'amenaça s'ha basat històricament en troians d'accés remot com ara Trochilus RAT, Gh0st RAT i 9002 RAT, també conegut com a Hydraq o McRat. Els analistes de seguretat també han vinculat l'activitat del grup a diversos clústers associats a la Xina, com ara FishMonger, SixLittleMonkeys i Space Pirates. Entre aquests, SixLittleMonkeys va cridar l'atenció per utilitzar Gh0st RAT i la família de programari maliciós Mikroceen contra entitats a l'Àsia Central, Bielorússia, Rússia i Mongòlia.
Canvi cap a operacions més discretes
Durant els darrers dos anys, Webworm s'ha allunyat gradualment dels marcs de treball tradicionals de programari maliciós en favor d'utilitats de proxy orientades a la furtivitat i eines de xarxa semilegítimes. La transició sembla dissenyada per reduir els riscos de detecció alhora que manté l'accés persistent dins d'entorns compromesos.
El 2025, el grup va introduir dues portes del darrere recentment identificades al seu arsenal:
EchoCreep, que aprofita Discord per a operacions de comandament i control i admet transferències de fitxers juntament amb l'execució remota de comandes mitjançant cmd.exe.
GraphWorm, un implant més avançat que es comunica a través de l'API de Microsoft Graph i permet als operadors crear noves sessions cmd.exe, iniciar processos, carregar i descarregar fitxers a través de Microsoft OneDrive i finalitzar la seva pròpia execució en rebre instruccions de l'operador.
Els investigadors també van observar l'ús d'un repositori de GitHub que es fa passar per una bifurcació de WordPress per allotjar càrregues útils de programari maliciós i utilitats com ara SoftEther VPN. Aquesta tàctica permet que la infraestructura maliciosa es barregi amb l'activitat de desenvolupament legítima, cosa que complica els esforços de detecció. L'ús de SoftEther VPN s'alinea amb els mètodes adoptats anteriorment per diversos grups de ciberespionatge xinesos.
Ampliació de l’abast geogràfic i la infraestructura de proxy
Les campanyes recents de Webworm demostren un enfocament creixent en objectius europeus, incloent-hi organitzacions governamentals a Bèlgica, Itàlia, Sèrbia, Polònia i Espanya, així com una universitat situada a Sud-àfrica.
Alhora, sembla que l'actor maliciós està eliminant gradualment famílies de programari maliciós més antigues com ara Trochilus i 9002 RAT en favor de marcs de proxy personalitzats i eines de túnel. Altres utilitats associades amb el grup inclouen iox, WormFrp, ChainWorm, SmuxProxy i WormSocket. Els investigadors van descobrir que WormFrp recupera dades de configuració d'un cub d'Amazon S3 compromès.
Aquestes eines de proxy estan dissenyades per xifrar les comunicacions i admetre connexions encadenades entre sistemes interns i externs, cosa que permet als atacants encaminar el trànsit a través de múltiples hosts i alhora ocultar l'activitat operativa. Els analistes creuen que aquestes eines es combinen sovint amb SoftEther VPN per ocultar encara més els moviments dels atacants i millorar la persistència.
L’activitat de comandament basada en Discord revela l’escala operativa
L'anàlisi de la infraestructura de Discord utilitzada per EchoCreep va revelar que el trànsit de comandaments es remunta com a mínim al 21 de març de 2024. Els investigadors van identificar 433 missatges transmesos a través de l'entorn C2 maliciós basat en Discord, que afectaven més de 50 objectius únics.
Tot i que el mètode precís d'accés inicial continua sent desconegut, els investigadors van descobrir que els operadors de Webworm utilitzen activament eines de reconeixement i explotació de codi obert com ara dirsearch i nuclei. Aquestes utilitats s'utilitzen per forçar directoris de servidors web, identificar fitxers exposats i escanejar vulnerabilitats explotables.
Evidència feble que vincula Webworm amb pirates espacials
Malgrat certes similituds operatives, els investigadors adverteixen que la connexió entre Webworm i el clúster Space Pirates continua sense ser concloent. La superposició actual sembla limitada principalment a l'ús de RAT disponibles públicament i patrons d'eines compartides, sense proves suficients per establir una relació definitiva entre els dos grups d'amenaces.
