Webworm APT
Cybersikkerhedsforskere har identificeret fornyede operationer forbundet med den Kina-allierede trusselsgruppe kendt som Webworm, hvilket fremhæver implementeringen af sofistikerede, brugerdefinerede bagdøre, der misbruger Discord og Microsoft Graph API'en til Command-and-Control (C2)-kommunikation. Den seneste aktivitet afspejler en bredere udvikling i gruppens operationelle strategi med vægt på stealth, proxy-baseret infrastruktur og misbrug af legitime platforme til at undgå opdagelse.
Indholdsfortegnelse
En vedvarende trussel rettet mod kritiske sektorer
Webworm, der for første gang blev offentligt dokumenteret i september 2022, menes at have været aktiv siden mindst det år. Gruppen har konsekvent målrettet sig offentlige institutioner og virksomhedsorganisationer, der opererer inden for sektorer som IT-tjenester, luftfart og elkraft. Ofre er blevet identificeret i Rusland, Georgien, Mongoliet og flere asiatiske lande.
Trusselsaktøren har historisk set benyttet sig af fjernadgangstrojanere, herunder Trochilus RAT, Gh0st RAT og 9002 RAT, også kendt som Hydraq eller McRat. Sikkerhedsanalytikere har også forbundet gruppens aktivitet med flere Kina-associerede klynger, herunder FishMonger, SixLittleMonkeys og Space Pirates. Blandt disse fik SixLittleMonkeys opmærksomhed for at bruge Gh0st RAT og Mikroceen-malwarefamilien mod enheder i Centralasien, Hviderusland, Rusland og Mongoliet.
Skift mod mere diskrete operationer
I løbet af de sidste to år har Webworm gradvist bevæget sig væk fra traditionelle malware-frameworks til fordel for stealth-orienterede proxy-værktøjer og semi-legitime netværksværktøjer. Overgangen ser ud til at være designet til at reducere detektionsrisici, samtidig med at vedvarende adgang opretholdes i kompromitterede miljøer.
I 2025 introducerede gruppen to nyligt identificerede bagdøre i sit arsenal:
EchoCreep, som udnytter Discord til kommando-og-kontrol-operationer og understøtter filoverførsler sammen med fjernkommandoudførelse via cmd.exe.
GraphWorm, et mere avanceret implantat, der kommunikerer via Microsoft Graph API og gør det muligt for operatører at oprette nye cmd.exe-sessioner, starte processer, uploade og downloade filer via Microsoft OneDrive og afslutte sin egen udførelse efter modtagelse af operatørinstruktioner.
Forskere observerede også brugen af et GitHub-arkiv, der forklædte sig som en WordPress-fork, til at hoste malware-nyttelaster og værktøjer såsom SoftEther VPN. Denne taktik tillader ondsindet infrastruktur at integreres i legitim udviklingsaktivitet, hvilket komplicerer detektionsindsatsen. Brugen af SoftEther VPN stemmer overens med metoder, der tidligere er blevet anvendt af flere kinesiske cyberspionagegrupper.
Udvidelse af geografisk rækkevidde og proxyinfrastruktur
Webworms nylige kampagner viser et stigende fokus på europæiske mål, herunder regeringsorganisationer i Belgien, Italien, Serbien, Polen og Spanien, samt et universitet i Sydafrika.
Samtidig ser trusselsaktøren ud til at udfase ældre malwarefamilier som Trochilus og 9002 RAT til fordel for brugerdefinerede proxy-frameworks og tunneleringsværktøjer. Yderligere værktøjer tilknyttet gruppen inkluderer iox, WormFrp, ChainWorm, SmuxProxy og WormSocket. Efterforskere fandt ud af, at WormFrp henter konfigurationsdata fra en kompromitteret Amazon S3-bucket.
Disse proxyværktøjer er udviklet til at kryptere kommunikation og understøtte sammenkædede forbindelser på tværs af interne og eksterne systemer, hvilket gør det muligt for angribere at dirigere trafik gennem flere værter, samtidig med at de skjuler operationel aktivitet. Analytikere mener, at disse værktøjer ofte kombineres med SoftEther VPN for yderligere at skjule angriberbevægelser og forbedre vedholdenheden.
Discord-baseret kommandoaktivitet afslører operationel skala
Analyse af Discord-infrastrukturen, der anvendes af EchoCreep, afslørede, at kommandotrafikken går tilbage til mindst 21. marts 2024. Forskere identificerede 433 beskeder, der blev sendt gennem det ondsindede Discord-baserede C2-miljø, hvilket påvirkede mere end 50 unikke mål.
Selvom den præcise indledende adgangsmetode stadig er ukendt, opdagede efterforskere, at Webworm-operatører aktivt anvender open source-rekognoscerings- og udnyttelsesværktøjer såsom dirsearch og nuclei. Disse værktøjer bruges til at brute-force webservermapper, identificere eksponerede filer og scanne for sårbarheder, der kan udnyttes.
Svage beviser, der forbinder weborm med rumpirater
Trods visse operationelle ligheder advarer forskere om, at forbindelsen mellem Webworm og Space Pirates-klyngen stadig er uafklaret. Den nuværende overlapning synes primært at være begrænset til brugen af offentligt tilgængelige RAT'er og delte værktøjsmønstre, med utilstrækkelig dokumentation til at etablere en endelig sammenhæng mellem de to trusselsgrupper.
