Webworm APT
Onderzoekers op het gebied van cyberbeveiliging hebben hernieuwde activiteiten ontdekt die gelinkt zijn aan de met China verbonden dreigingsgroep Webworm. Hierbij wordt de inzet van geavanceerde, op maat gemaakte backdoors benadrukt die misbruik maken van Discord en de Microsoft Graph API voor command-and-control (C2)-communicatie. De meest recente activiteiten weerspiegelen een bredere evolutie in de operationele strategie van de groep, met de nadruk op heimelijkheid, op proxy's gebaseerde infrastructuur en het misbruik van legitieme platforms om detectie te omzeilen.
Inhoudsopgave
Een aanhoudende dreiging gericht op kritieke sectoren
Webworm werd voor het eerst publiekelijk gedocumenteerd in september 2022 en is vermoedelijk al minstens sinds dat jaar actief. De groep richt zich steevast op overheidsinstellingen en bedrijven in sectoren zoals IT-diensten, lucht- en ruimtevaart en elektriciteitsproductie. Slachtoffers zijn geïdentificeerd in Rusland, Georgië, Mongolië en verschillende Aziatische landen.
De dader heeft zich historisch gezien gebaseerd op remote access trojans zoals Trochilus RAT, Gh0st RAT en 9002 RAT, ook bekend als Hydraq of McRat. Beveiligingsanalisten hebben de activiteiten van de groep ook in verband gebracht met verschillende clusters die banden hebben met China, waaronder FishMonger, SixLittleMonkeys en Space Pirates. Van deze clusters trok SixLittleMonkeys de aandacht door het gebruik van Gh0st RAT en de Mikroceen-malwarefamilie tegen entiteiten in Centraal-Azië, Wit-Rusland, Rusland en Mongolië.
Overgang naar meer heimelijke operaties
De afgelopen twee jaar heeft Webworm zich geleidelijk afgewend van traditionele malwareframeworks en is overgestapt op onopvallende proxyprogramma's en semi-legitieme netwerktools. Deze overgang lijkt bedoeld om het detectierisico te verlagen en tegelijkertijd de toegang tot gecompromitteerde omgevingen te behouden.
In 2025 introduceerde de groep twee nieuw ontdekte achterdeuren in haar arsenaal:
EchoCreep maakt gebruik van Discord voor commando- en controlefuncties en ondersteunt bestandsoverdracht naast het uitvoeren van opdrachten op afstand via cmd.exe.
GraphWorm is een geavanceerder implantaat dat communiceert via de Microsoft Graph API en operators in staat stelt nieuwe cmd.exe-sessies te creëren, processen te starten, bestanden te uploaden en downloaden via Microsoft OneDrive en de eigen uitvoering te beëindigen na ontvangst van instructies van de operator.
Onderzoekers observeerden ook het gebruik van een GitHub-repository die zich voordeed als een WordPress-fork om malware en hulpprogramma's zoals SoftEther VPN te hosten. Deze tactiek maakt het mogelijk dat kwaadaardige infrastructuur opgaat in legitieme ontwikkelingsactiviteiten, waardoor detectiepogingen worden bemoeilijkt. Het gebruik van SoftEther VPN sluit aan bij methoden die eerder door verschillende Chinese cyber-spionagegroepen zijn toegepast.
Uitbreiding van het geografische bereik en de proxy-infrastructuur
De recente campagnes van Webworm tonen een toenemende focus op Europese doelwitten, waaronder overheidsorganisaties in België, Italië, Servië, Polen en Spanje, evenals een universiteit in Zuid-Afrika.
Tegelijkertijd lijkt de aanvaller oudere malwarefamilies zoals Trochilus en 9002 RAT uit te faseren ten gunste van aangepaste proxyframeworks en tunnelingtools. Andere hulpprogramma's die met de groep in verband worden gebracht, zijn onder meer iox, WormFrp, ChainWorm, SmuxProxy en WormSocket. Onderzoekers ontdekten dat WormFrp configuratiegegevens ophaalt uit een gecompromitteerde Amazon S3-bucket.
Deze proxytools zijn ontworpen om communicatie te versleutelen en ondersteunen gekoppelde verbindingen tussen interne en externe systemen, waardoor aanvallers verkeer via meerdere hosts kunnen routeren en tegelijkertijd hun operationele activiteiten kunnen verbergen. Analisten vermoeden dat deze tools vaak worden gecombineerd met SoftEther VPN om de bewegingen van aanvallers verder te maskeren en de persistentie te verbeteren.
Commando-activiteit op Discord onthult operationele schaal
Analyse van de Discord-infrastructuur die door EchoCreep werd gebruikt, onthulde dat het commandoverkeer teruggaat tot ten minste 21 maart 2024. Onderzoekers identificeerden 433 berichten die via de kwaadaardige, op Discord gebaseerde C2-omgeving werden verzonden, waarmee meer dan 50 verschillende doelwitten werden getroffen.
Hoewel de precieze methode voor de eerste toegang onbekend blijft, ontdekten onderzoekers dat de beheerders van Webworm actief gebruikmaken van open-source tools voor verkenning en exploitatie, zoals dirsearch en nuclei. Deze tools worden gebruikt om webservermappen te kraken, blootgestelde bestanden te identificeren en te scannen op exploiteerbare kwetsbaarheden.
Zwakke bewijzen die Webworm in verband brengen met ruimtepiraten
Ondanks bepaalde operationele overeenkomsten waarschuwen onderzoekers dat het verband tussen Webworm en de Space Pirates-groep nog niet definitief is vastgesteld. De huidige overlap lijkt zich voornamelijk te beperken tot het gebruik van openbaar beschikbare RAT's en gedeelde toolingpatronen, met onvoldoende bewijs om een definitieve relatie tussen de twee dreigingsgroepen vast te stellen.
