Pesquisadores de cibersegurança identificaram uma nova onda de atividade ligada ao grupo Webworm, alinhado à China, em 2025.
A operação vem usando backdoors personalizados que recorrem ao Discord e à Microsoft Graph API para comunicações de comando e controle, o C2.
O Webworm foi documentado publicamente pela primeira vez pela Symantec, da Broadcom, em setembro de 2022, mas a avaliação é de que o grupo atua pelo menos desde 2022.
Seus alvos incluem órgãos governamentais e empresas dos setores de serviços de TI, aeroespacial e energia elétrica na Rússia, Geórgia, Mongólia e em outros países asiáticos.
Os ataques do grupo já exploraram trojans de acesso remoto, ou RATs, como Trochilus RAT, Gh0st RAT e 9002 RAT, também conhecido como Hydraq e McRat.
Os pesquisadores apontam ainda sobreposição com clusters ligados à China monitorados como FishMonger, também chamado Aquatic Panda, SixLittleMonkeys e Space Pirates.
O SixLittleMonkeys ficou conhecido por usar Gh0st RAT e um RAT chamado Mikroceen contra entidades da Ásia Central, Rússia, Belarus e Mongólia.
“Nos últimos anos, ele passou a migrar tanto para ferramentas de proxy já existentes quanto para ferramentas personalizadas, que são mais discretas do que backdoors completos”, afirmou Eric Howard, pesquisador da ESET.
“Em 2025, o Webworm também adicionou dois novos backdoors ao seu arsenal: EchoCreep, que usa o Discord para comunicação com o C2, e GraphWorm, que usa a Microsoft Graph API para o mesmo fim.”
Por trás dessas operações está o uso de um repositório no GitHub que se passa por um fork do WordPress, em github[.]com/anjsdgasdf/WordPress, como ponto de preparação para malware e ferramentas como o SoftEther VPN, em uma tentativa de se misturar ao tráfego legítimo e passar despercebido.
O uso do SoftEther VPN é uma tática já consolidada e adotada por diversos grupos de hackers chineses.
Nos últimos dois anos, o adversário também foi observado abandonando backdoors tradicionais em favor de utilitários semi-legítimos, como proxies SOCKS.
Ao mesmo tempo, passou a concentrar mais esforços em países europeus, incluindo organizações governamentais na Bélgica, Itália, Sérvia, Polônia e Espanha, além de uma universidade local na África do Sul.
A descoberta do EchoCreep e do GraphWorm mostra uma expansão do arsenal do Webworm, ainda que o Trochilus e o 9002 RAT pareçam ter sido abandonados pelo threat actor.
Entre outras ferramentas relevantes estão o iox e soluções de proxy personalizadas, como WormFrp, ChainWorm, SmuxProxy e WormSocket.
Foi identificado que o WormFrp recupera configurações a partir de um bucket comprometido da Amazon S3.
“Essas ferramentas de proxy personalizadas não apenas conseguem criptografar as comunicações, como também permitem o encadeamento entre vários hosts, tanto dentro quanto fora da rede”, informou a ESET.
“Acreditamos que os operadores usam essas ferramentas em conjunto com o SoftEther VPN para cobrir melhor seus rastros e aumentar a furtividade das atividades.”
O EchoCreep suporta upload e download de arquivos e execução de comandos por meio de capacidades do cmd.exe, enquanto o GraphWorm é um backdoor mais avançado, capaz de iniciar uma nova sessão do cmd.exe, executar um novo processo, enviar e receber arquivos de e para o Microsoft OneDrive e interromper sua própria execução após receber um sinal dos operadores.
Uma análise do canal do Discord usado pelo EchoCreep como C2 mostra que os primeiros comandos foram enviados em 21 de março de 2024.
No total, 433 mensagens do Discord foram transmitidas pelo servidor de C2.
Ainda não se sabe exatamente como esses backdoors são entregues nem qual é o caminho inicial de acesso usado pelo Webworm.
No entanto, surgiram indícios de que o atacante utiliza ferramentas open source como dirsearch e nuclei para forçar a descoberta de arquivos e diretórios em servidores web das vítimas, além de pesquisar vulnerabilidades no ambiente.
A divulgação ocorre no momento em que a Cisco Talos trouxe à tona uma variante do BadIIS que provavelmente é vendida ou compartilhada entre vários grupos de cibercrime que falam chinês, dentro de um modelo malware-as-a-service, o MaaS, voltado à monetização contínua.
A oferta estaria em desenvolvimento desde pelo menos 30/09/2021.
O mesmo autor do malware, que atua sob o alias “lwxat”, também disponibilizou um conjunto de ferramentas complementares, incluindo instaladores baseados em serviço, droppers e mecanismos de persistência que automatizam a implantação, garantem a sobrevivência após reinicializações de servidores IIS e ajudam a evitar a detecção.
O serviço oferece uma ferramenta específica de criação que “permite que threat actors gerem arquivos de configuração, personalizem payloads e insiram parâmetros em binários do BadIIS, habilitando recursos como redirecionamento de tráfego para sites ilícitos, proxy reverso para manipulação de rastreadores de mecanismos de busca, sequestro de conteúdo e injeção de backlinks para fraudes de otimização maliciosa para mecanismos de busca, ou SEO”, disse o pesquisador da Talos Joey Chen.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...