XWorm 6.0 Malware

Na-trace ng mga mananaliksik sa seguridad ang XWorm mula sa isang compact na remote-access na framework patungo sa isang napaka-modular na platform na ginagamit ng mga operator upang magpatakbo ng malawak na hanay ng mga malisyosong operasyon sa mga nakompromisong Windows host. Unang na-flag noong 2022 at na-link sa isang grupo gamit ang handle na EvilCoder, ang XWorm ay aktibong binuo at muling ginawa ng mga indibidwal na gumagamit ng personas XCoder (lead developer hanggang kalagitnaan ng ‑2024) at, kamakailan lamang, mga nagbebenta gaya ng XCoderTools. Ang patuloy na ebolusyon at muling pagpapakita nito ay nagpapakita kung gaano kabilis ang isang tool ay maaaring maghiwa-hiwalay, ma-repackage, at muling makapasok sa ligaw.

Paano Nabubuo ang XWorm — Mga Core + Plugin

Nakasentro ang arkitektura ng XWorm sa isang maliit na kliyente na umaabot sa isang Command‑and‑Control (C2) server at isang malaking hanay ng mga plug‑in payload na na-load sa memory kapag hinihiling. Ang disenyo ay nagbibigay-daan sa mga operator na panatilihin ang magaan na kliyente sa isang host habang dynamic na nagtutulak ng functionality (DLLs) upang magsagawa ng mga partikular na gawain. Kasama rin sa ecosystem ng proyekto ang mga pantulong na tool na na-promote ng mga developer: isang .NET malware builder, isang hiwalay na RAT na tinatawag na XBinder, at isang utility na sumusubok na i-bypass ang Windows User Account Control (UAC). Ang komunidad ng developer sa paligid ng XWorm ay nag-advertise ng iba pang mga bahagi at mga pekeng installer (lalo na ang mga nakakahamak na installer ng ScreenConnect) bilang mga pang-akit sa pamamahagi.

Mga Infection Chain At Delivery Technique

Naobserbahan ng mga mananaliksik ang maramihang, nagbabagong daloy ng trabaho sa impeksyon para sa XWorm. Ang mga naunang chain ay umasa sa mga mensahe ng phishing na naghatid ng mga Windows shortcut (LNK) na file; ang mga LNK ay nag-execute ng PowerShell, na nag-drop ng mga decoy file (halimbawa, isang hindi nakakapinsalang TXT) at isang mapanlinlang na executable (karaniwang nagpapanggap bilang Discord) na sa huli ay naglunsad ng totoong payload. Ang mga kamakailang campaign na namamahagi ng pamilyang 6.x ay gumamit ng mga nakakahamak na attachment ng JavaScript sa mga phishing na email na nagpapakita ng decoy na PDF habang pinapagana ang background na PowerShell na nag-inject ng XWorm sa mga lehitimong proseso gaya ng RegSvcs.exe para maiwasan ang pagtuklas. Itinulak din ng mga banta ng aktor ang mga basag o na-trojanize na bersyon ng mga bahagi ng XWorm sa pamamagitan ng mga repo ng GitHub, mga site sa pagbabahagi ng file, mga channel sa Telegram, at YouTube, na sinusubukang linlangin ang mga hindi gaanong bihasang operator sa pag-install ng mga backdoored builder.

Pag-iwas, Remote Control, At Mga Tampok ng Operator

Ang XWorm ay nagsasama ng maraming anti-analysis na pagsusuri na nagpapatigil sa pagpapatupad kapag natukoy nito ang virtualization o mga tagapagpahiwatig ng sandbox. Kapag aktibo na, tinatanggap ng kliyente ang mga utos mula sa C2 na sumasaklaw sa mga karaniwang operasyon ng RAT (paglipat ng file, proseso at pagmamanipula ng serbisyo, pagpapatupad ng mga command ng shell, pagbubukas ng mga URL), kontrol ng system (pagsara/pag-restart), at mas agresibong pagkilos gaya ng paglulunsad ng aktibidad ng DDoS. Ang modular plugin model ay nagbibigay-daan sa isang remote operator na magpatakbo ng higit sa 35 iba't ibang DLL payload sa memorya nang hindi isinusulat ang mga ito sa disk, na nagbibigay sa XWorm ng flexible attack surface habang binabawasan ang forensic traces.

Plugin Delivery Protocol

Ang XWorm 6.x ay nagpapatupad ng isang hash‑first plugin protocol: ang C2 ay nagbibigay ng isang 'plugin' na command na naglalaman ng SHA‑256 hash ng hiniling na DLL at runtime na mga argumento. Tinitingnan ng kliyente kung mayroon na itong plugin na naka-cache; kung hindi, hinihiling nito ang file na may 'sendplugin'. Tumugon ang server gamit ang isang command na 'savePlugin' na naglalaman ng plugin bilang base64 blob at ang SHA‑256 hash nito. Ang kliyente ay nagde-decode ng blob, nagbe-verify ng hash, at naglo-load ng DLL nang direkta sa memorya para sa pagpapatupad.

Mga Kapansin-pansing Plugin At Ano ang Ginagawa Nila

• RemoteDesktop.dll — nagtatatag ng interactive na remote session.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — kredensyal at pagnanakaw ng data mula sa OS at mga application (mga Windows key, Wi‑Fi password, mga kredensyal na naka-imbak ng browser, kasama ang mga bypasses para sa app‑bound encryption, at harg.
• FileManager.dll — pag-access at pagmamanipula ng filesystem.
• Shell.dll — nakatagong pagpapatupad ng mga utos ng operator sa pamamagitan ng cmd.exe.
• Informations.dll — host/system fingerprinting.
• Webcam.dll — kumukuha ng mga larawan/video sa webcam upang kumpirmahin ang isang tunay na biktima.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — binibilang ang mga koneksyon sa network, aktibong window, at autostart na mga entry.
• Ransomware.dll — file encryption/decryption routines (nagbabahagi ng code sa NoCry-style ransomware).
• Rootkit.dll — nag-i-install ng binagong r77 rootkit.
• ResetSurvival.dll — binabago ang Windows Registry para makaligtas sa ilang partikular na pag-reset ng device.

Ang iba pang malware na ipinamahagi sa pamamagitan ng mga impeksyon sa XWorm ay kinabibilangan ng:

• DarkCloud Stealer
• Hworm (VBS RAT)
• Snake KeyLogger
• Mga minero ng barya
• Purong Malware
• ShadowSniff (Magnanakaw ng kalawang, open‑source)
• Phantom Stealer
• Phemedrone Stealer

Mga Operational Setback, Fragmentation, at Weaponized Forks

Ang pag-unlad ng XWorm ay hindi linear. Sa ikalawang kalahati ng 2024, biglang tinanggal ng persona XCoder ang kanilang presensya sa Telegram, na nagdulot ng pagdududa sa hinaharap ng proyekto. Gayunpaman, ang agwat na iyon ay nagbunga ng oportunistikong aktibidad: mga basag na XWorm v5.6 na pakete na mismong na-trojan para makahawa sa iba pang mga banta, at mga social engineering campaign na nagta-target ng 'script kiddies' sa pamamagitan ng GitHub at iba pang pampublikong channel — mga campaign na tinatantya ng mga mananaliksik na sinubukang ikompromiso ang sampu-sampung libong device (naiulat na mahigit 18,000).

Nakakita rin ang mga analyst ng mga binagong tinidor, kabilang ang isang variant na may label na XSPY (naiulat na pinanggalingan: variant sa wikang Chinese) at isang kritikal na kahinaan sa pagpapatupad ng remote code (RCE) sa ilang build na nagbigay-daan sa isang taong nagtataglay ng C2 encryption key na magsagawa ng arbitrary code sa mga nahawaang host. Ang fragmentation ng toolkit ay nagpapahirap sa pagpapatungkol at pagtanggal; ang iba't ibang nagbebenta at tinidor ay maaaring lumitaw at mawala nang nakapag-iisa.

Ang 2025 Resurfacing: XWorm 6.0 At Marketplace Activity

Noong Hunyo 4, 2025, isang vendor na tinatawag ang sarili nitong XCoderTools ay nag-post ng XWorm 6.0 sa mga cybercrime forum na nagkakahalaga ng $500 para sa panghabambuhay na pag-access, na sinasabing ang release ay ganap na muling na-code at na ang dating iniulat na RCE flaw ay naayos na. Hindi malinaw kung ang release na ito ay nagmula sa orihinal na may-akda o mula sa isang third party na gumagamit ng XWorm brand. Ang mga naobserbahang sample ng XWorm 6.0 ay na-configure upang makipag-ugnayan sa isang C2 sa 94.159.113[.]64 sa port 4411 at ipatupad ang protocol ng plugin na inilarawan sa itaas, na nagbibigay-daan sa mabilis at nasa memorya na paghahatid ng dose-dosenang mga DLL module.

Bottom Line

Ang ikot ng buhay ng XWorm — mula sa aktibong pag-unlad hanggang sa pag-abandona hanggang sa muling pagpapakita sa ilalim ng mga bagong nagbebenta at mga trojanized na crack na build — ay isang paalala na ang malware ay isang ecosystem. Kahit na mawala ang isang orihinal na may-akda, ang kanilang code ay maaaring i-forked, gawing armas, at muling i-deploy ng iba. Samakatuwid, dapat tumuon ang mga tagapagtanggol sa nababanat na mga kontrol at mga diskarte sa pagtuklas na ipinapalagay na muling gagamitin at ire-repack ng mga kalaban ang mga kasalukuyang toolset.