Webworm APT
Forskere innen nettsikkerhet har identifisert fornyede operasjoner knyttet til den Kina-tilknyttede trusselgruppen kjent som Webworm, og fremhever utplasseringen av sofistikerte, tilpassede bakdører som misbruker Discord og Microsoft Graph API for kommando-og-kontroll (C2)-kommunikasjon. Den siste aktiviteten gjenspeiler en bredere utvikling i gruppens operative strategi, med vekt på stealth, proxy-basert infrastruktur og misbruk av legitime plattformer for å unngå oppdagelse.
Innholdsfortegnelse
En vedvarende trussel rettet mot kritiske sektorer
Webworm ble offentlig dokumentert for første gang i september 2022, og antas å ha vært aktiv siden minst det året. Gruppen har konsekvent rettet seg mot offentlige institusjoner og bedriftsorganisasjoner som opererer innen sektorer som IT-tjenester, luftfart og elektrisk kraft. Ofre er identifisert i Russland, Georgia, Mongolia og flere asiatiske land.
Trusselaktøren har historisk sett benyttet seg av trojanere for fjerntilgang, inkludert Trochilus RAT, Gh0st RAT og 9002 RAT, også kjent som Hydraq eller McRat. Sikkerhetsanalytikere har også knyttet gruppens aktivitet til flere Kina-tilknyttede klynger, inkludert FishMonger, SixLittleMonkeys og Space Pirates. Blant disse fikk SixLittleMonkeys oppmerksomhet for å bruke Gh0st RAT og Mikroceen-skadevarefamilien mot enheter i Sentral-Asia, Hviterussland, Russland og Mongolia.
Skift mot snikende operasjoner
I løpet av de siste to årene har Webworm gradvis beveget seg bort fra tradisjonelle rammeverk for skadelig programvare til fordel for stealth-orienterte proxy-verktøy og semi-legitime nettverksverktøy. Overgangen ser ut til å være utformet for å redusere deteksjonsrisikoer samtidig som vedvarende tilgang opprettholdes i kompromitterte miljøer.
I 2025 introduserte gruppen to nylig identifiserte bakdører i arsenalet sitt:
EchoCreep, som bruker Discord for kommando- og kontrolloperasjoner og støtter filoverføringer sammen med ekstern kommandokjøring via cmd.exe.
GraphWorm, et mer avansert implantat som kommuniserer gjennom Microsoft Graph API og lar operatører opprette nye cmd.exe-økter, starte prosesser, laste opp og laste ned filer via Microsoft OneDrive, og avslutte sin egen kjøring når de mottar operatørinstruksjoner.
Forskere observerte også bruken av et GitHub-arkiv som utga seg for å være en WordPress-fork for å være vert for skadevarenyttelaster og verktøy som SoftEther VPN. Denne taktikken lar ondsinnet infrastruktur blande seg inn i legitim utviklingsaktivitet, noe som kompliserer deteksjonsarbeidet. Bruken av SoftEther VPN samsvarer med metoder som tidligere er tatt i bruk av flere kinesiske cyberspionasjegrupper.
Utvidelse av geografisk rekkevidde og proxy-infrastruktur
Webworms nylige kampanjer viser et økende fokus på europeiske mål, inkludert statlige organisasjoner i Belgia, Italia, Serbia, Polen og Spania, samt et universitet i Sør-Afrika.
Samtidig ser det ut til at trusselaktøren faser ut eldre skadevarefamilier som Trochilus og 9002 RAT til fordel for tilpassede proxy-rammeverk og tunneleringsverktøy. Ytterligere verktøy tilknyttet gruppen inkluderer iox, WormFrp, ChainWorm, SmuxProxy og WormSocket. Etterforskerne fant ut at WormFrp henter konfigurasjonsdata fra en kompromittert Amazon S3-bøtte.
Disse proxy-verktøyene er utviklet for å kryptere kommunikasjon og støtte kjedede forbindelser på tvers av interne og eksterne systemer, slik at angripere kan rute trafikk gjennom flere verter samtidig som de skjuler driftsaktivitet. Analytikere mener at disse verktøyene ofte kombineres med SoftEther VPN for å ytterligere skjule angripernes bevegelser og forbedre utholdenheten.
Discord-basert kommandoaktivitet avslører operasjonell skala
Analyse av Discord-infrastrukturen som brukes av EchoCreep avslørte at kommandotrafikken går tilbake til minst 21. mars 2024. Forskere identifiserte 433 meldinger overført gjennom det ondsinnede Discord-baserte C2-miljøet, som påvirket mer enn 50 unike mål.
Selv om den nøyaktige metoden for første tilgang fortsatt er ukjent, oppdaget etterforskere at Webworm-operatører aktivt bruker åpen kildekode-verktøy for rekognosering og utnyttelse, som dirsearch og nuclei. Disse verktøyene brukes til å brute-force webserverkataloger, identifisere eksponerte filer og skanne etter utnyttbare sårbarheter.
Svake bevis som knytter nettorm til rompirater
Til tross for visse operative likheter, advarer forskere om at forbindelsen mellom Webworm og Space Pirates-klyngen fortsatt er uklar. Nåværende overlapping ser ut til å være begrenset hovedsakelig til bruken av offentlig tilgjengelige RAT-er og delte verktøymønstre, med utilstrekkelig bevis for å etablere et definitivt forhold mellom de to trusselgruppene.
