Webworm APT
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali obnovené operace spojené s čínskou skupinou Webworm, a zdůraznili nasazení sofistikovaných vlastních zadních vrátek, které zneužívají Discord a rozhraní Microsoft Graph API pro komunikaci Command-and-Control (C2). Nejnovější aktivita odráží širší vývoj operační strategie skupiny, která klade důraz na utajení, infrastrukturu založenou na proxy a zneužívání legitimních platforem k vyhýbání se odhalení.
Obsah
Trvalá hrozba zaměřená na kritické sektory
Webworm, jehož činnost byla poprvé veřejně zdokumentována v září 2022, je pravděpodobně aktivní přinejmenším od té doby. Skupina se důsledně zaměřuje na vládní instituce a podnikové organizace působící v odvětvích, jako jsou IT služby, letecký průmysl a elektrická energie. Oběti byly identifikovány v Rusku, Gruzii, Mongolsku a několika asijských zemích.
Tento útočník se historicky spoléhal na trojské koně pro vzdálený přístup, včetně Trochilus RAT, Gh0st RAT a 9002 RAT, známého také jako Hydraq nebo McRat. Bezpečnostní analytici také spojili aktivitu skupiny s několika klastry spojenými s Čínou, včetně FishMonger, SixLittleMonkeys a Space Pirates. Mezi nimi si SixLittleMonkeys získal pozornost používáním Gh0st RAT a rodiny malwaru Mikroceen proti subjektům ve Střední Asii, Bělorusku, Rusku a Mongolsku.
Posun směrem k nenápadnějším operacím
Během posledních dvou let se Webworm postupně odklonil od tradičních malwarových systémů ve prospěch nenápadně orientovaných proxy utilit a pololegitimních síťových nástrojů. Zdá se, že tento přechod je navržen tak, aby snížil rizika detekce a zároveň zachoval trvalý přístup v kompromitovaných prostředích.
V roce 2025 skupina zavedla do svého arzenálu dva nově identifikované zadní vrátka:
EchoCreep, který využívá Discord pro operace velení a řízení a podporuje přenos souborů spolu se vzdáleným prováděním příkazů prostřednictvím cmd.exe.
GraphWorm, pokročilejší implantát, který komunikuje prostřednictvím rozhraní Microsoft Graph API a umožňuje operátorům vytvářet nové relace cmd.exe, spouštět procesy, nahrávat a stahovat soubory přes Microsoft OneDrive a ukončovat své vlastní provádění po obdržení pokynů od operátora.
Výzkumníci také pozorovali použití repozitáře GitHub maskovaného jako fork WordPressu k hostování malwarových dat a nástrojů, jako je SoftEther VPN. Tato taktika umožňuje škodlivé infrastruktuře prolínat se s legitimní vývojovou činností, což komplikuje detekční úsilí. Používání SoftEther VPN je v souladu s metodami, které dříve používalo několik čínských kybernetických špionážních skupin.
Rozšiřování geografického dosahu a proxy infrastruktury
Nedávné kampaně Webworm ukazují rostoucí zaměření na evropské cíle, včetně vládních organizací v Belgii, Itálii, Srbsku, Polsku a Španělsku, a také na univerzitu v Jižní Africe.
Zároveň se zdá, že útočník postupně vyřazuje starší rodiny malwaru, jako jsou Trochilus a 9002 RAT, ve prospěch vlastních proxy frameworků a tunelovacích nástrojů. Mezi další utility spojené s touto skupinou patří iox, WormFrp, ChainWorm, SmuxProxy a WormSocket. Vyšetřovatelé zjistili, že WormFrp načítá konfigurační data z napadeného úložiště Amazon S3.
Tyto proxy nástroje jsou navrženy tak, aby šifrovaly komunikaci a podporovaly řetězená připojení napříč interními i externími systémy, což útočníkům umožňuje směrovat provoz přes více hostitelů a zároveň skrýt provozní aktivitu. Analytici se domnívají, že tyto nástroje jsou často kombinovány se SoftEther VPN, aby dále zakryly pohyby útočníků a zlepšily odolnost.
Aktivita velení založená na Discordu odhaluje operační rozsah
Analýza infrastruktury Discordu používané společností EchoCreep odhalila, že provoz příkazů sahá nejméně do 21. března 2024. Výzkumníci identifikovali 433 zpráv přenášených škodlivým prostředím C2 založeným na Discordu, které ovlivnily více než 50 unikátních cílů.
Přestože přesná metoda počátečního přístupu zůstává neznámá, vyšetřovatelé zjistili, že provozovatelé webových červů aktivně používají open-source nástroje pro průzkum a zneužívání, jako jsou dirsearch a nuclei. Tyto nástroje se používají k hrubé vynucení adresářů webových serverů, identifikaci exponovaných souborů a skenování zranitelností, které lze zneužít.
Slabé důkazy spojující webový červ s vesmírnými piráty
Navzdory určitým operačním podobnostem vědci varují, že spojení mezi Webworm a klastrem Space Pirates zůstává nejednoznačné. Současné překrývání se zdá být omezeno především na používání veřejně dostupných RAT a sdílených vzorců nástrojů, přičemž neexistuje dostatek důkazů k určení definitivního vztahu mezi těmito dvěma skupinami hrozeb.
