Webworm APT

网络安全研究人员发现，与中国有关联的网络威胁组织“Webworm”再次发起攻击，重点在于部署了复杂的定制后门程序，这些程序滥用Discord和微软Graph API进行命令与控制（C2）通信。此次攻击活动反映了该组织行动策略的全面演变，更加注重隐蔽性、基于代理的基础设施以及滥用合法平台来逃避检测。

针对关键行业的持续威胁

Webworm 组织于 2022 年 9 月首次被公开记录，据信至少从那一年起就已活跃。该组织持续攻击政府机构和企业组织，目标行业包括 IT 服务、航空航天和电力等。受害者遍布俄罗斯、格鲁吉亚、蒙古和多个亚洲国家。

该威胁行为者历来依赖远程访问木马，包括 Trochilus RAT、Gh0st RAT 和 9002 RAT（也称为 Hydraq 或 McRat）。安全分析师还将该组织的活动与多个与中国相关的组织联系起来，包括 FishMonger、SixLittleMonkeys 和 Space Pirates。其中，SixLittleMonkeys 因使用 Gh0st RAT 和 Mikroceen 恶意软件家族攻击中亚、白俄罗斯、俄罗斯和蒙古的实体而备受关注。

转向更隐蔽的行动

过去两年，Webworm 逐渐放弃了传统的恶意软件框架，转而采用隐蔽性强的代理工具和半合法的网络工具。这种转变似乎旨在降低被检测的风险，同时保持对受感染环境的持续访问。

2025年，该组织在其攻击手段中引入了两个新发现的后门：

EchoCreep 利用 Discord 进行命令和控制操作，并支持通过 cmd.exe 进行文件传输和远程命令执行。
GraphWorm 是一款更高级的植入程序，它通过 Microsoft Graph API 进行通信，使操作员能够创建新的 cmd.exe 会话、启动进程、通过 Microsoft OneDrive 上传和下载文件，并在收到操作员指令后终止自身的执行。

研究人员还发现，有人利用伪装成 WordPress 分支的 GitHub 代码库来托管恶意软件载荷和诸如 SoftEther VPN 之类的实用程序。这种策略使得恶意基础设施能够融入合法的开发活动中，从而增加检测难度。使用 SoftEther VPN 与多个中国网络间谍组织此前采用的方法一致。

扩大地理覆盖范围和代理基础设施

Webworm 最近的攻击活动表明，其目标越来越集中于欧洲，包括比利时、意大利、塞尔维亚、波兰和西班牙的政府机构，以及位于南非的一所大学。

与此同时，该威胁组织似乎正在逐步淘汰 Trochilus 和 9002 RAT 等较旧的恶意软件家族，转而使用自定义代理框架和隧道工具。与该组织相关的其他实用程序包括 iox、WormFrp、ChainWorm、SmuxProxy 和 WormSocket。调查人员发现，WormFrp 可以从被入侵的 Amazon S3 存储桶中检索配置数据。

这些代理工具旨在加密通信并支持跨内部和外部系统的链式连接，使攻击者能够通过多个主机路由流量，同时隐藏其操作活动。分析人士认为，这些工具通常与 SoftEther VPN 结合使用，以进一步掩盖攻击者的行踪并提高持久性。

基于 Discord 的指挥活动揭示了行动规模

对 EchoCreep 使用的 Discord 基础设施的分析显示，命令流量至少可以追溯到 2024 年 3 月 21 日。研究人员发现了 433 条通过基于 Discord 的恶意 C2 环境传输的消息，影响了 50 多个不同的目标。

尽管具体的初始入侵方法尚不清楚，但调查人员发现，网络蠕虫病毒的运营者会积极使用诸如 dirsearch 和 nuclei 之类的开源侦察和漏洞利用工具。这些工具用于暴力破解 Web 服务器目录、识别暴露的文件以及扫描可利用的漏洞。

将网络蠕虫与太空海盗联系起来的证据不足

尽管在某些操作上存在相似之处，但研究人员提醒，Webworm 与 Space Pirates 恶意软件集群之间的联系仍未有定论。目前看来，二者的重叠之处主要在于使用了公开的远程访问木马 (RAT) 和共享的工具模式，尚无足够证据证明这两个威胁组织之间存在明确的关联。