Webworm APT
Pesquisadores de cibersegurança identificaram novas operações ligadas ao grupo de ameaças alinhado à China conhecido como Webworm, destacando a implantação de backdoors personalizados sofisticados que exploram o Discord e a API do Microsoft Graph para comunicações de Comando e Controle (C2). A atividade mais recente reflete uma evolução mais ampla na estratégia operacional do grupo, enfatizando o sigilo, infraestrutura baseada em proxy e o uso indevido de plataformas legítimas para evitar a detecção.
Índice
Uma ameaça persistente que visa setores críticos
Documentado publicamente pela primeira vez em setembro de 2022, acredita-se que o Webworm esteja ativo desde pelo menos aquele ano. O grupo tem como alvo constante instituições governamentais e empresas que atuam em setores como serviços de TI, aeroespacial e energia elétrica. Vítimas foram identificadas na Rússia, Geórgia, Mongólia e em diversos países asiáticos.
Historicamente, o grupo de ameaças tem se baseado em trojans de acesso remoto, incluindo o Trochilus RAT, o Gh0st RAT e o 9002 RAT, também conhecido como Hydraq ou McRat. Analistas de segurança também associaram a atividade do grupo a diversos clusters ligados à China, incluindo FishMonger, SixLittleMonkeys e Space Pirates. Dentre esses, o SixLittleMonkeys ganhou notoriedade por usar o Gh0st RAT e a família de malware Mikroceen contra entidades na Ásia Central, Bielorrússia, Rússia e Mongólia.
Transição para operações mais furtivas
Nos últimos dois anos, o Webworm gradualmente abandonou as estruturas tradicionais de malware em favor de utilitários de proxy furtivos e ferramentas de rede semi-legítimas. Essa transição parece ter como objetivo reduzir os riscos de detecção, mantendo o acesso persistente em ambientes comprometidos.
Em 2025, o grupo introduziu duas novas portas traseiras identificadas em seu arsenal:
EchoCreep, que utiliza o Discord para operações de comando e controle e suporta transferência de arquivos, além da execução remota de comandos por meio do cmd.exe.
GraphWorm é um implante mais avançado que se comunica através da API do Microsoft Graph e permite que os operadores criem novas sessões do cmd.exe, iniciem processos, carreguem e baixem arquivos pelo Microsoft OneDrive e encerrem sua própria execução ao receberem instruções do operador.
Os pesquisadores também observaram o uso de um repositório do GitHub disfarçado de fork do WordPress para hospedar payloads de malware e utilitários como o SoftEther VPN. Essa tática permite que a infraestrutura maliciosa se misture à atividade legítima de desenvolvimento, dificultando os esforços de detecção. O uso do SoftEther VPN está em consonância com métodos previamente adotados por diversos grupos chineses de ciberespionagem.
Ampliação do alcance geográfico e da infraestrutura de proxy
As campanhas recentes do Webworm demonstram um foco crescente em alvos europeus, incluindo organizações governamentais na Bélgica, Itália, Sérvia, Polônia e Espanha, bem como uma universidade localizada na África do Sul.
Ao mesmo tempo, o agente malicioso parece estar abandonando famílias de malware mais antigas, como Trochilus e 9002 RAT, em favor de frameworks de proxy personalizados e ferramentas de tunelamento. Outras ferramentas associadas ao grupo incluem iox, WormFrp, ChainWorm, SmuxProxy e WormSocket. Os investigadores descobriram que o WormFrp recupera dados de configuração de um bucket do Amazon S3 comprometido.
Essas ferramentas de proxy são projetadas para criptografar comunicações e suportar conexões encadeadas entre sistemas internos e externos, permitindo que invasores direcionem o tráfego por meio de vários hosts, ocultando a atividade operacional. Analistas acreditam que essas ferramentas são frequentemente combinadas com o SoftEther VPN para obscurecer ainda mais os movimentos dos invasores e melhorar a persistência.
A atividade de comando baseada no Discord revela a escala operacional.
A análise da infraestrutura do Discord usada pelo EchoCreep revelou que o tráfego de comandos data de pelo menos 21 de março de 2024. Os pesquisadores identificaram 433 mensagens transmitidas por meio do ambiente C2 malicioso baseado no Discord, afetando mais de 50 alvos diferentes.
Embora o método de acesso inicial preciso permaneça desconhecido, os investigadores descobriram que os operadores do Webworm utilizam ativamente ferramentas de reconhecimento e exploração de código aberto, como o dirsearch e o nuclei. Estas ferramentas são usadas para realizar ataques de força bruta em diretórios de servidores web, identificar ficheiros expostos e procurar vulnerabilidades exploráveis.
Evidências fracas ligam o worm da web aos piratas espaciais.
Apesar de certas semelhanças operacionais, os pesquisadores alertam que a conexão entre o Webworm e o grupo Space Pirates permanece inconclusiva. A sobreposição atual parece se limitar principalmente ao uso de RATs disponíveis publicamente e padrões de ferramentas compartilhados, sem evidências suficientes para estabelecer uma relação definitiva entre os dois grupos de ameaças.
