APT Webworm
Cercetătorii în domeniul securității cibernetice au identificat operațiuni reînnoite legate de grupul de amenințări Webworm, aliniat cu China, evidențiind implementarea unor backdoor-uri personalizate sofisticate care abuzează de Discord și de API-ul Microsoft Graph pentru comunicațiile Command-and-Control (C2). Cea mai recentă activitate reflectă o evoluție mai amplă a strategiei operaționale a grupului, punând accent pe infrastructura stealth, bazată pe proxy și utilizarea abuzivă a platformelor legitime pentru a evita detectarea.
Cuprins
O amenințare persistentă care vizează sectoare critice
Documentat public pentru prima dată în septembrie 2022, se crede că Webworm este activ cel puțin din acel an. Grupul a vizat în mod constant instituții guvernamentale și organizații de întreprinderi care operează în sectoare precum serviciile IT, industria aerospațială și energia electrică. Victimele au fost identificate în Rusia, Georgia, Mongolia și mai multe țări asiatice.
Actorul malware s-a bazat în mod tradițional pe troieni cu acces la distanță, inclusiv Trochilus RAT, Gh0st RAT și 9002 RAT, cunoscut și sub numele de Hydraq sau McRat. Analiștii de securitate au asociat, de asemenea, activitatea grupului cu mai multe clustere asociate Chinei, inclusiv FishMonger, SixLittleMonkeys și Space Pirates. Printre acestea, SixLittleMonkeys a atras atenția pentru utilizarea Gh0st RAT și a familiei de malware Mikroceen împotriva entităților din Asia Centrală, Belarus, Rusia și Mongolia.
Trecerea către operațiuni mai discrete
În ultimii doi ani, Webworm s-a îndepărtat treptat de framework-urile tradiționale de malware în favoarea utilitarilor proxy orientate spre stealth și a instrumentelor de rețea semi-legitime. Tranziția pare a fi concepută pentru a reduce riscurile de detectare, menținând în același timp accesul persistent în mediile compromise.
În 2025, grupul a introdus în arsenalul său două backdoor-uri nou identificate:
EchoCreep, care utilizează Discord pentru operațiuni de comandă și control și acceptă transferuri de fișiere alături de executarea comenzilor la distanță prin cmd.exe.
GraphWorm, un implant mai avansat care comunică prin intermediul API-ului Microsoft Graph și permite operatorilor să creeze noi sesiuni cmd.exe, să lanseze procese, să încarce și să descarce fișiere prin Microsoft OneDrive și să își încheie propria execuție la primirea instrucțiunilor operatorului.
Cercetătorii au observat, de asemenea, utilizarea unui depozit GitHub deghizat într-un fork WordPress pentru a găzdui sarcini utile și utilități malware precum SoftEther VPN. Această tactică permite infrastructurii rău intenționate să se amestece în activitatea legitimă de dezvoltare, complicând eforturile de detectare. Utilizarea SoftEther VPN se aliniază cu metodele adoptate anterior de mai multe grupuri chineze de spionaj cibernetic.
Extinderea acoperirii geografice și a infrastructurii proxy
Campaniile recente ale Webworm demonstrează o concentrare tot mai mare asupra țintelor europene, inclusiv organizații guvernamentale din Belgia, Italia, Serbia, Polonia și Spania, precum și o universitate situată în Africa de Sud.
În același timp, actorul amenințător pare să elimine treptat familiile mai vechi de programe malware, cum ar fi Trochilus și 9002 RAT, în favoarea unor framework-uri proxy personalizate și a unor instrumente de tunelare. Printre alte utilități asociate grupului se numără iox, WormFrp, ChainWorm, SmuxProxy și WormSocket. Anchetatorii au descoperit că WormFrp preia date de configurare dintr-un bucket Amazon S3 compromis.
Aceste instrumente proxy sunt concepute pentru a cripta comunicațiile și a suporta conexiuni în lanț între sisteme interne și externe, permițând atacatorilor să direcționeze traficul prin mai multe gazde, ascunzând în același timp activitatea operațională. Analiștii cred că aceste instrumente sunt frecvent combinate cu SoftEther VPN pentru a ascunde și mai mult mișcările atacatorilor și a îmbunătăți persistența.
Activitatea de comandă bazată pe Discord dezvăluie amploarea operațională
Analiza infrastructurii Discord utilizată de EchoCreep a relevat că traficul de comenzi datează cel puțin din 21 martie 2024. Cercetătorii au identificat 433 de mesaje transmise prin mediul C2 malițios bazat pe Discord, afectând peste 50 de ținte unice.
Deși metoda precisă de acces inițial rămâne necunoscută, anchetatorii au descoperit că operatorii Webworm utilizează în mod activ instrumente open-source de recunoaștere și exploatare, cum ar fi dirsearch și nuclei. Aceste utilitare sunt folosite pentru a forța directoarele serverelor web, a identifica fișierele expuse și a scana vulnerabilități care pot fi exploatate.
Dovezi slabe care leagă Webworm de pirații spațiali
În ciuda anumitor similarități operaționale, cercetătorii avertizează că legătura dintre Webworm și grupul Space Pirates rămâne neconcludentă. Suprapunerea actuală pare limitată în principal la utilizarea RAT-urilor disponibile publicului și a modelelor de instrumente partajate, existând dovezi insuficiente pentru a stabili o relație definitivă între cele două grupuri de amenințări.
