Webworm APT

網路安全研究人員發現，與中國有關聯的網路威脅組織「Webworm」再次發動攻擊，重點在於部署了複雜的客製化後門程序，這些程序濫用Discord和微軟Graph API進行命令與控制（C2）通訊。這次攻擊活動反映了該組織行動策略的全面演變，更加重視隱蔽性、基於代理的基礎設施以及濫用合法平台來逃避偵測。

針對關鍵產業的持續威脅

Webworm 組織於 2022 年 9 月首次被公開記錄，據信至少從那一年起就已活躍。該組織持續攻擊政府機構和企業組織，目標產業包括 IT 服務、航空航太和電力等。受害者遍佈俄羅斯、喬治亞、蒙古和多個亞洲國家。

該威脅行為者歷來依賴遠端存取木馬，包括 Trochilus RAT、Gh0st RAT 和 9002 RAT（也稱為 Hydraq 或 McRat）。安全分析師還將該組織的活動與多個與中國相關的組織聯繫起來，包括 FishMonger、SixLittleMonkeys 和 Space Pirates。其中，SixLittleMonkeys 因使用 Gh0st RAT 和 Mikroceen 惡意軟體家族攻擊中亞、白俄羅斯、俄羅斯和蒙古的實體而備受關注。

轉向更隱密的行動

過去兩年，Webworm 逐漸放棄了傳統的惡意軟體框架，轉而採用隱蔽性強的代理工具和半合法的網路工具。這種轉變似乎旨在降低被檢測的風險，同時保持對受感染環境的持續存取。

2025年，該組織在其攻擊手段中引入了兩個新發現的後門：

EchoCreep 利用 Discord 進行指令與控制操作，並支援透過 cmd.exe 進行檔案傳輸和遠端指令執行。
GraphWorm 是一款更高級的植入程序，它透過 Microsoft Graph API 進行通信，使操作員能夠創建新的 cmd.exe 會話、啟動進程、透過 Microsoft OneDrive 上傳和下載文件，並在收到操作員指令後終止自身的執行。

研究人員還發現，有人利用偽裝成 WordPress 分支的 GitHub 程式碼庫來託管惡意軟體負載和諸如 SoftEther VPN 之類的實用程式。這種策略使得惡意基礎設施能夠融入合法的開發活動中，從而增加偵測難度。使用 SoftEther VPN 與多個中國網路間諜組織先前採用的方法一致。

擴大地理覆蓋範圍和代理基礎設施

Webworm 最近的攻擊活動表明，其目標越來越集中於歐洲，包括比利時、義大利、塞爾維亞、波蘭和西班牙的政府機構，以及位於南非的一所大學。

同時，該威脅組織似乎正在逐步淘汰 Trochilus 和 9002 RAT 等較舊的惡意軟體家族，轉而使用自訂代理框架和隧道工具。與該組織相關的其他實用程式包括 iox、WormFrp、ChainWorm、SmuxProxy 和 WormSocket。調查人員發現，WormFrp 可以從入侵的 Amazon S3 儲存桶中檢索配置資料。

這些代理工具旨在加密通訊並支援跨內部和外部系統的鍊式連接，使攻擊者能夠透過多個主機路由流量，同時隱藏其操作活動。分析師認為，這些工具通常與 SoftEther VPN 結合使用，以進一步掩蓋攻擊者的行蹤並提高持久性。

基於 Discord 的指揮活動揭示了行動規模

對 EchoCreep 使用的 Discord 基礎設施的分析顯示，命令流量至少可以追溯到 2024 年 3 月 21 日。研究人員發現了 433 條透過基於 Discord 的惡意 C2 環境傳輸的訊息，影響了 50 多個不同的目標。

儘管具體的初始入侵方法尚不清楚，但調查人員發現，網路蠕蟲病毒的業者會積極使用諸如 dirsearch 和 nuclei 之類的開源偵察和漏洞利用工具。這些工具用於暴力破解 Web 伺服器目錄、識別暴露的檔案以及掃描可利用的漏洞。

將網路蠕蟲與太空海盜聯繫起來的證據不足

儘管在某些操作上存在相似之處，但研究人員提醒，Webworm 與 Space Pirates 惡意軟體叢集之間的聯繫仍未有定論。目前看來，二者的重疊之處主要在於使用了公開的遠端存取木馬 (RAT) 和共享的工具模式，尚無足夠證據證明這兩個威脅組織之間存在明確的關聯。