Webworm користи EchoCreep и GraphWorm backdoor-и преку Discord и Microsoft Graph API

Истражувачи за сајбер-безбедност открија нова активност во 2025 година од заканувачки актер поврзан со Кина, познат како Webworm, кој распоредува сопствени backdoor алатки што користат Discord и Microsoft Graph API за command-and-control (C2 или C&C) комуникации.

Webworm првпат беше јавно документиран од Symantec во септември 2022 година, а се проценува дека е активен најмалку од 2022 година, таргетирајќи владини агенции и компании од IT услугите, воздухопловството и електроенергетскиот сектор во Русија, Грузија, Монголија и неколку други азиски држави.

Нападите на групата користеле remote access trojan (RAT) алатки како Trochilus RAT, Gh0st RAT и 9002 RAT (познат и како Hydraq и McRat). Се смета дека заканувачкиот актер има преклопувања со групи поврзани со Кина следени под имињата FishMonger (познат и како Aquatic Panda), SixLittleMonkeys и Space Pirates.

SixLittleMonkeys е најпознат по распоредување на Gh0st RAT и RAT алатка наречена Mikroceen, насочена кон организации во Централна Азија, Русија, Белорусија и Монголија.

„Во последните години, групата почна да се насочува кон постојни и сопствени proxy алатки, кои се потаинствени од класичните backdoor решенија,“ изјави Ерик Хауард, истражувач во ESET. „Во 2025 година, Webworm додаде и две нови backdoor алатки во својот арсенал: EchoCreep, кој користи Discord за C&C комуникација, и GraphWorm, кој користи Microsoft Graph API за истата цел.“

Во основата на овие активности е користење на GitHub репозиториум што се претставува како WordPress fork („github[.]com/anjsdgasdf/WordPress“) како привремена платформа за malware и алатки како SoftEther VPN, со цел да се вклопат во нормалниот сообраќај и да останат незабележани. Употребата на SoftEther VPN е добро позната техника што ја користат повеќе кинески хакерски групи.

Во текот на изминатите две години, напаѓачите биле забележани како се оддалечуваат од традиционалните backdoor алатки и преминуваат кон (полу)легитимни utility решенија како SOCKS proxy алатки, додека сè повеќе се фокусираат и на европски држави, вклучувајќи владини организации во Белгија, Италија, Србија, Полска и Шпанија, како и локален универзитет во Јужна Африка.

Откривањето на EchoCreep и GraphWorm претставува проширување на арсеналот на Webworm, додека Trochilus RAT и 9002 RAT очигледно повеќе не се користат од групата.

Други значајни алатки што ги користи групата се iox и сопствени proxy решенија како WormFrp, ChainWorm, SmuxProxy и WormSocket. Утврдено е дека WormFrp презема конфигурации од компромитиран Amazon S3 bucket.

„Овие сопствени proxy алатки не само што можат да ја енкриптираат комуникацијата, туку поддржуваат и поврзување преку повеќе системи, и внатре и надвор од мрежата,“ соопшти ESET. „Веруваме дека операторите ги користат овие алатки заедно со SoftEther VPN за подобро да ги сокријат трагите и да ја зголемат прикриеноста на нивните активности.“

EchoCreep поддржува upload/download на датотеки и извршување команди преку можностите на cmd.exe, додека GraphWorm е понапреден backdoor што може да отвори нова cmd.exe сесија, да извршува новосоздадени процеси, да прикачува и презема датотеки од Microsoft OneDrive и да го прекине сопственото извршување по добивање сигнал од операторите.

Анализата на Discord каналот што EchoCreep го користи за command-and-control (C2) покажува дека најраните команди биле испратени уште на 21 март 2024 година. Вкупно, преку C2 серверот биле испратени 433 Discord пораки.

Во моментов не е познато точно како овие backdoor алатки се испорачуваат, ниту кој е почетниот метод на пристап што го користи Webworm. Сепак, откриено е дека напаѓачот користи open-source алатки како dirsearch и nuclei за brute-force пребарување на датотеки и директориуми на веб серверите на жртвите, како и за откривање ранливости.

Во однос на преклопувањата во тактиките, ESET изјави за The Hacker News дека врските помеѓу Webworm и Space Pirates се многу слаби, наведувајќи ја употребата на open-source RAT алатки и недостатокот на конкретни докази што би ги поврзале двете групи.

„Поврзаноста помеѓу Webworm и Space Pirates се базира на RAT алатки што се open-source,“ изјави Ерик Хауард за The Hacker News преку е-пошта. „За жал, поради open-source природата на овие RAT алатки, повеќе групи поврзани со Кина ги користат истите алатки. Тоа не е доволно релевантно за да се каже дека двете групи се поврзани.“

„Дополнително, неодамна не забележавме никакви индикации за преклопувања со групата позната како Space Pirates. Врз основа на последните активности што ги анализиравме, не веруваме дека биле вклучени други групи.“

Откритието доаѓа во време кога Cisco Talos објави детали за варијанта на BadIIS која најверојатно се продава или споделува меѓу повеќе кинеско-говорни сајбер-криминални групи преку malware-as-a-service (MaaS) модел дизајниран за континуирана монетизација. Се верува дека оваа понуда се развива најмалку од 30 септември 2021 година.

Истиот автор на malware-от, кој дејствува под псевдонимот „lwxat“, исто така понудил дополнителни алатки, вклучувајќи service-based инсталатори, dropper-и и механизми за одржување на присуството (persistence), кои автоматизираат распоредување, обезбедуваат опстанок по рестартирање на IIS серверите и помагаат да се избегне детекција.

Услугата нуди и посебна builder алатка што „им овозможува на заканувачките актери да генерираат конфигурациски датотеки, да ги прилагодуваат payload-ите и да вметнуваат параметри во BadIIS бинарните датотеки — овозможувајќи функции како пренасочување на сообраќај кон нелегални страници, reverse proxy манипулација со crawler-и на пребарувачи, кражба на содржина и вметнување backlinks за злонамерна SEO измама,“ изјави Џои Чен, истражувач во Cisco Talos.

Извори:

• The Hacker News – Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API The Hacker News