Webworm APT
Natukoy ng mga mananaliksik sa cybersecurity ang mga panibagong operasyon na nauugnay sa grupong banta na nakahanay sa Tsina na kilala bilang Webworm, na nagtatampok sa pag-deploy ng mga sopistikadong custom backdoor na umaabuso sa Discord at sa Microsoft Graph API para sa mga komunikasyon sa Command-and-Control (C2). Ang pinakabagong aktibidad ay sumasalamin sa mas malawak na ebolusyon sa estratehiya sa operasyon ng grupo, na nagbibigay-diin sa stealth, proxy-based infrastructure, at ang maling paggamit ng mga lehitimong platform upang maiwasan ang pagtuklas.
Talaan ng mga Nilalaman
Isang Patuloy na Banta na Tumutuon sa mga Kritikal na Sektor
Sa unang pagkakataong naidokumento sa publiko noong Setyembre 2022, pinaniniwalaang aktibo na ang Webworm simula pa noong taong iyon. Patuloy na tinatarget ng grupo ang mga institusyon ng gobyerno at mga organisasyong pangnegosyo na tumatakbo sa mga sektor tulad ng mga serbisyo ng IT, aerospace, at kuryente. Nakilala na ang mga biktima sa buong Russia, Georgia, Mongolia, at ilang mga bansa sa Asya.
Ang aktor ng banta ay dating umaasa sa mga remote access trojan kabilang ang Trochilus RAT, Gh0st RAT, at 9002 RAT, na kilala rin bilang Hydraq o McRat. Iniugnay din ng mga security analyst ang aktibidad ng grupo sa ilang cluster na nauugnay sa China, kabilang ang FishMonger, SixLittleMonkeys, at Space Pirates. Kabilang sa mga ito, nakakuha ng atensyon ang SixLittleMonkeys dahil sa paggamit ng Gh0st RAT at ng pamilya ng Mikroceen malware laban sa mga entity sa Central Asia, Belarus, Russia, at Mongolia.
Paglipat Tungo sa Mas Lihim na mga Operasyon
Sa nakalipas na dalawang taon, unti-unting lumayo ang Webworm sa mga tradisyonal na malware framework at lumipat sa mga stealth-oriented proxy utilities at semi-lehitimong networking tools. Tila dinisenyo ang transisyon upang mabawasan ang mga panganib sa pagtuklas habang pinapanatili ang patuloy na pag-access sa loob ng mga nakompromisong kapaligiran.
Noong 2025, ipinakilala ng grupo ang dalawang bagong natukoy na backdoor sa kanilang arsenal:
Ang EchoCreep, na gumagamit ng Discord para sa mga operasyon ng command-and-control at sumusuporta sa paglilipat ng file kasama ng malayuang pagpapatupad ng command sa pamamagitan ng cmd.exe.
Ang GraphWorm, isang mas advanced na implant na nakikipag-ugnayan sa pamamagitan ng Microsoft Graph API at nagbibigay-daan sa mga operator na lumikha ng mga bagong cmd.exe session, maglunsad ng mga proseso, mag-upload at mag-download ng mga file sa pamamagitan ng Microsoft OneDrive, at wakasan ang sarili nitong pagpapatupad sa sandaling matanggap ang mga tagubilin ng operator.
Naobserbahan din ng mga mananaliksik ang paggamit ng isang GitHub repository na nagkukunwaring isang WordPress fork upang mag-host ng mga malware payload at utility tulad ng SoftEther VPN. Ang taktikang ito ay nagpapahintulot sa malisyosong imprastraktura na humalo sa lehitimong aktibidad ng pag-develop, na nagpapahirap sa mga pagsisikap sa pag-detect. Ang paggamit ng SoftEther VPN ay naaayon sa mga pamamaraang dati nang ginagamit ng maraming grupo ng cyber-espionage sa Tsina.
Pagpapalawak ng Heograpikong Abot at Proxy Infrastructure
Ang mga kamakailang kampanya ng Webworm ay nagpapakita ng lumalaking pagtuon sa mga target sa Europa, kabilang ang mga organisasyon ng gobyerno sa Belgium, Italy, Serbia, Poland, at Spain, pati na rin sa isang unibersidad na matatagpuan sa South Africa.
Kasabay nito, tila unti-unting inaalis ng banta ang mga lumang pamilya ng malware tulad ng Trochilus at 9002 RAT pabor sa mga custom proxy framework at tunneling tool. Kabilang sa mga karagdagang utility na nauugnay sa grupo ang iox, WormFrp, ChainWorm, SmuxProxy, at WormSocket. Natuklasan ng mga imbestigador na kinukuha ng WormFrp ang configuration data mula sa isang nakompromisong Amazon S3 bucket.
Ang mga proxy tool na ito ay ginawa upang i-encrypt ang mga komunikasyon at suportahan ang mga naka-chain na koneksyon sa mga internal at external na sistema, na nagbibigay-daan sa mga attacker na iruta ang trapiko sa maraming host habang itinatago ang aktibidad sa operasyon. Naniniwala ang mga analyst na ang mga tool na ito ay madalas na pinagsama sa SoftEther VPN upang lalong itago ang mga galaw ng attacker at mapabuti ang persistence.
Ipinapakita ng Aktibidad ng Utos na Batay sa Discord ang Operasyong Saklaw
Ipinakita ng pagsusuri sa imprastraktura ng Discord na ginamit ng EchoCreep na ang trapiko ng command ay nagsimula pa noong Marso 21, 2024. Natukoy ng mga mananaliksik ang 433 mensaheng ipinadala sa pamamagitan ng malisyosong kapaligirang C2 na nakabatay sa Discord, na nakaapekto sa mahigit 50 natatanging target.
Bagama't nananatiling hindi alam ang eksaktong unang paraan ng pag-access, natuklasan ng mga imbestigador na ang mga operator ng Webworm ay aktibong gumagamit ng mga open-source reconnaissance at exploitation tool tulad ng dirsearch at nuclei. Ang mga utility na ito ay ginagamit upang brute-force ang mga direktoryo ng web server, tukuyin ang mga nakalantad na file, at i-scan ang mga maaaring mapagsamantalahang kahinaan.
Mahinang Ebidensya na Nag-uugnay sa Webworm sa mga Pirata sa Kalawakan
Sa kabila ng ilang pagkakatulad sa operasyon, nagbabala ang mga mananaliksik na ang koneksyon sa pagitan ng Webworm at ng Space Pirates cluster ay nananatiling hindi tiyak. Ang kasalukuyang pagsasanib ay tila limitado lamang sa paggamit ng mga pampublikong RAT at mga ibinahaging pattern ng paggamit ng mga kagamitan, na may hindi sapat na ebidensya upang magtatag ng isang tiyak na ugnayan sa pagitan ng dalawang grupo ng banta.
