Webworm APT
I ricercatori di sicurezza informatica hanno identificato nuove operazioni legate al gruppo di minaccia filo-cinese noto come Webworm, evidenziando l'impiego di sofisticate backdoor personalizzate che sfruttano Discord e l'API Microsoft Graph per le comunicazioni di comando e controllo (C2). L'attività più recente riflette una più ampia evoluzione nella strategia operativa del gruppo, che privilegia la furtività, l'infrastruttura basata su proxy e l'uso improprio di piattaforme legittime per eludere il rilevamento.
Sommario
Una minaccia persistente che prende di mira i settori critici.
Documentato pubblicamente per la prima volta nel settembre 2022, si ritiene che Webworm sia attivo almeno da quell'anno. Il gruppo ha preso di mira sistematicamente istituzioni governative e aziende operanti in settori quali i servizi IT, l'industria aerospaziale e l'energia elettrica. Le vittime sono state identificate in Russia, Georgia, Mongolia e in diversi paesi asiatici.
Storicamente, l'autore della minaccia si è affidato a trojan di accesso remoto, tra cui Trochilus RAT, Gh0st RAT e 9002 RAT, noto anche come Hydraq o McRat. Gli analisti della sicurezza hanno inoltre collegato l'attività del gruppo a diversi cluster associati alla Cina, tra cui FishMonger, SixLittleMonkeys e Space Pirates. Tra questi, SixLittleMonkeys ha attirato l'attenzione per l'utilizzo di Gh0st RAT e della famiglia di malware Mikroceen contro entità in Asia centrale, Bielorussia, Russia e Mongolia.
Passaggio a operazioni più furtive
Negli ultimi due anni, Webworm si è progressivamente allontanato dai tradizionali framework malware a favore di utility proxy orientate alla furtività e strumenti di rete semi-legittimi. Questa transizione sembra mirata a ridurre i rischi di rilevamento, pur mantenendo un accesso persistente all'interno di ambienti compromessi.
Nel 2025, il gruppo ha introdotto nel proprio arsenale due nuove backdoor:
EchoCreep, che sfrutta Discord per le operazioni di comando e controllo e supporta il trasferimento di file oltre all'esecuzione di comandi remoti tramite cmd.exe.
GraphWorm è un malware più avanzato che comunica tramite l'API Microsoft Graph e consente agli operatori di creare nuove sessioni cmd.exe, avviare processi, caricare e scaricare file tramite Microsoft OneDrive e terminare la propria esecuzione al ricevimento di istruzioni dall'operatore.
I ricercatori hanno inoltre osservato l'utilizzo di un repository GitHub camuffato da fork di WordPress per ospitare malware e utility come SoftEther VPN. Questa tattica consente alle infrastrutture dannose di mimetizzarsi tra le legittime attività di sviluppo, complicando gli sforzi di rilevamento. L'utilizzo di SoftEther VPN è in linea con metodi precedentemente adottati da diversi gruppi di spionaggio informatico cinesi.
Ampliamento della portata geografica e dell'infrastruttura proxy
Le recenti campagne di Webworm dimostrano una crescente attenzione verso obiettivi europei, tra cui organizzazioni governative in Belgio, Italia, Serbia, Polonia e Spagna, nonché un'università situata in Sudafrica.
Allo stesso tempo, sembra che l'attore della minaccia stia gradualmente abbandonando le vecchie famiglie di malware come Trochilus e 9002 RAT a favore di framework proxy personalizzati e strumenti di tunneling. Tra le altre utility associate al gruppo figurano iox, WormFrp, ChainWorm, SmuxProxy e WormSocket. Gli investigatori hanno scoperto che WormFrp recupera i dati di configurazione da un bucket Amazon S3 compromesso.
Questi strumenti proxy sono progettati per crittografare le comunicazioni e supportare connessioni a catena tra sistemi interni ed esterni, consentendo agli aggressori di instradare il traffico attraverso più host e di nascondere l'attività operativa. Gli analisti ritengono che questi strumenti vengano spesso combinati con SoftEther VPN per occultare ulteriormente i movimenti degli aggressori e migliorarne la persistenza.
L'attività di comando basata su Discord rivela la portata operativa
L'analisi dell'infrastruttura Discord utilizzata da EchoCreep ha rivelato che il traffico di comandi risale almeno al 21 marzo 2024. I ricercatori hanno identificato 433 messaggi trasmessi attraverso l'ambiente C2 malevolo basato su Discord, che ha colpito più di 50 obiettivi diversi.
Sebbene il metodo di accesso iniziale preciso rimanga sconosciuto, gli investigatori hanno scoperto che gli operatori del Webworm utilizzano attivamente strumenti di ricognizione e sfruttamento open-source come dirsearch e nuclei. Queste utility vengono utilizzate per forzare le directory dei server web, identificare i file esposti e scansionare alla ricerca di vulnerabilità sfruttabili.
Prove deboli collegano Webworm ai pirati spaziali
Nonostante alcune somiglianze operative, i ricercatori avvertono che il collegamento tra Webworm e il gruppo Space Pirates rimane inconcludente. L'attuale sovrapposizione sembra limitarsi principalmente all'utilizzo di RAT (Remote Access Trojan) disponibili pubblicamente e a schemi di strumenti condivisi, con prove insufficienti per stabilire una relazione definitiva tra i due gruppi di minaccia.
