Webworm APT
Cybersäkerhetsforskare har identifierat förnyade operationer kopplade till den Kina-allierade hotgruppen Webworm, vilket belyser utplaceringen av sofistikerade anpassade bakdörrar som missbrukar Discord och Microsoft Graph API för kommando-och-kontroll (C2) kommunikation. Den senaste aktiviteten återspeglar en bredare utveckling i gruppens operativa strategi, med betoning på stealth, proxybaserad infrastruktur och missbruk av legitima plattformar för att undvika upptäckt.
Innehållsförteckning
Ett ihållande hot mot kritiska sektorer
Webworm, som dokumenterades offentligt för första gången i september 2022, tros ha varit aktivt sedan åtminstone det året. Gruppen har konsekvent riktat in sig på statliga institutioner och företag som är verksamma inom sektorer som IT-tjänster, flyg- och rymdfart och elkraft. Offer har identifierats i Ryssland, Georgien, Mongoliet och flera asiatiska länder.
Hotaktören har historiskt sett förlitat sig på fjärråtkomsttrojaner inklusive Trochilus RAT, Gh0st RAT och 9002 RAT, även känd som Hydraq eller McRat. Säkerhetsanalytiker har också kopplat gruppens aktivitet till flera Kina-associerade kluster, inklusive FishMonger, SixLittleMonkeys och Space Pirates. Bland dessa fick SixLittleMonkeys uppmärksamhet för att ha använt Gh0st RAT och mikroceen-familjen av skadlig kod mot enheter i Centralasien, Vitryssland, Ryssland och Mongoliet.
Skift mot smygande operationer
Under de senaste två åren har Webworm gradvis övergått från traditionella ramverk för skadlig kod till förmån för smygande proxyverktyg och semi-legitima nätverksverktyg. Övergången verkar vara utformad för att minska upptäcktsriskerna samtidigt som man bibehåller permanent åtkomst inom komprometterade miljöer.
År 2025 introducerade gruppen två nyligen identifierade bakdörrar i sin arsenal:
EchoCreep, som använder Discord för kommando- och kontrolloperationer och stöder filöverföringar tillsammans med fjärrkommandokörning via cmd.exe.
GraphWorm, ett mer avancerat implantat som kommunicerar via Microsoft Graph API och gör det möjligt för operatörer att skapa nya cmd.exe-sessioner, starta processer, ladda upp och ladda ner filer via Microsoft OneDrive och avsluta sin egen körning när de mottagit operatörsinstruktioner.
Forskare observerade också användningen av ett GitHub-arkiv som utgav sig för att vara en WordPress-fork för att vara värd för skadlig kod och verktyg som SoftEther VPN. Denna taktik gör att skadlig infrastruktur kan integreras i legitim utvecklingsaktivitet, vilket komplicerar upptäcktsarbetet. Användningen av SoftEther VPN överensstämmer med metoder som tidigare använts av flera kinesiska cyberspionagegrupper.
Utökad geografisk räckvidd och proxyinfrastruktur
Webworms senaste kampanjer visar ett ökande fokus på europeiska mål, inklusive statliga organisationer i Belgien, Italien, Serbien, Polen och Spanien, samt ett universitet i Sydafrika.
Samtidigt verkar hotbildaren fasa ut äldre familjer av skadlig kod som Trochilus och 9002 RAT till förmån för anpassade proxy-ramverk och tunnelverktyg. Ytterligare verktyg associerade med gruppen inkluderar iox, WormFrp, ChainWorm, SmuxProxy och WormSocket. Utredarna fann att WormFrp hämtar konfigurationsdata från en komprometterad Amazon S3-bucket.
Dessa proxyverktyg är konstruerade för att kryptera kommunikation och stödja kedjeanslutningar mellan interna och externa system, vilket gör det möjligt för angripare att dirigera trafik genom flera värdar samtidigt som de döljer operativ aktivitet. Analytiker tror att dessa verktyg ofta kombineras med SoftEther VPN för att ytterligare dölja angriparnas rörelser och förbättra beständigheten.
Discord-baserad kommandoaktivitet avslöjar operativ skala
Analys av Discord-infrastrukturen som används av EchoCreep avslöjade att kommandotrafiken går tillbaka till åtminstone den 21 mars 2024. Forskare identifierade 433 meddelanden som skickades via den skadliga Discord-baserade C2-miljön, vilket påverkade mer än 50 unika mål.
Även om den exakta initiala åtkomstmetoden fortfarande är okänd, upptäckte utredare att Webworm-operatörer aktivt använder öppen källkod för rekognoscering och utnyttjande av verktyg som dirsearch och nuclei. Dessa verktyg används för att bruteforcera webbserverkataloger, identifiera exponerade filer och söka efter sårbarheter som kan utnyttjas.
Svaga bevis som kopplar nätmask till rymdpirater
Trots vissa operativa likheter varnar forskare för att sambandet mellan Webworm och Space Pirates-klustret fortfarande är oklart. Nuvarande överlappning verkar begränsad främst till användningen av offentligt tillgängliga RAT:er och delade verktygsmönster, med otillräckliga bevis för att fastställa ett definitivt samband mellan de två hotgrupperna.
