Onderzoekers op het gebied van cyberbeveiliging hebben nieuwe activiteiten opgemerkt van een met China verbonden bedreigingsacteur, bekend als Webworm in 2025, door aangepaste achterdeurtjes in te zetten die gebruik maken van Discord en Microsoft Graph API voor command-and-control (C2 of C&C) communicatie.
Webworm, voor het eerst publiekelijk gedocumenteerd door Symantec, eigendom van Broadcom in september 2022, is naar verwachting al sinds 2022 actief en richt zich op overheidsinstanties en ondernemingen in de IT-diensten-, ruimtevaart- en elektriciteitssector in Rusland, Georgië, Mongolië en verschillende andere Aziatische landen.
Aanvallen van de groep hebben gebruik gemaakt van trojans voor externe toegang (RAT’s) zoals Trochilus RAT, Gh0st RAT en 9002 RAT (ook bekend als Hydraq en McRat). Er wordt gezegd dat de dreigingsactor overlapt met Chinese nexusclusters die worden gevolgd als FishMonger (ook bekend als Aquatic Panda), SixLittleMonkeys en Space Pirates. SixLittleMonkeys is vooral bekend vanwege de inzet van Gh0st RAT en een RAT genaamd Mikroceen, gericht op entiteiten in Centraal-Azië, Rusland, Wit-Rusland en Mongolië.
“De afgelopen jaren is er een beweging ontstaan in de richting van zowel bestaande als aangepaste proxytools, die heimelijker zijn dan volwaardige achterdeurtjes”, aldus ESET-onderzoeker Eric Howard. “In 2025 voegde Webworm ook twee nieuwe achterdeurtjes toe aan zijn toolset: EchoCreep, dat Discord gebruikt voor C&C-communicatie, en GraphWorm, dat Microsoft Graph API voor hetzelfde doel gebruikt.”
Aan de basis van deze inspanningen ligt het gebruik van een GitHub-repository die een WordPress-fork nabootst (“github(.)com/anjsdgasdf/WordPress”) als verzamelplaats voor malware en tools zoals SoftEther VPN in een poging om op te gaan in en onder de radar te blijven. De afhankelijkheid van SoftEther VPN is een beproefde aanpak die door verschillende Chinese hackgroepen is aangenomen.
De afgelopen twee jaar is waargenomen dat de tegenstander is verschoven van traditionele achterdeurtjes naar (semi-)legitieme nutsbedrijven zoals SOCKS-proxy’s, terwijl hij zich ook steeds meer richtte op Europese landen, waaronder overheidsorganisaties in België, Italië, Servië en Polen, en een lokale universiteit in Zuid-Afrika.
De ontdekking van EchoCreep en GraphWorm markeert een uitbreiding van het arsenaal van Webworm, zelfs nu Trochilus en 9002 RAT door de bedreigingsacteur in de steek lijken te zijn gelaten. Andere belangrijke tools zijn iox en aangepaste proxy-oplossingen zoals WormFrp, ChainWorm, SmuxProxy en WormSocket. Het is gebleken dat WormFrp configuraties ophaalt uit een gecompromitteerde Amazon S3-bucket.
“Deze aangepaste proxytools zijn niet alleen in staat om communicatie te versleutelen, maar ondersteunen ook het koppelen van meerdere hosts, zowel intern als extern aan een netwerk”, aldus ESET. “Wij zijn van mening dat de operators deze tools gebruiken in combinatie met SoftEther VPN om hun sporen beter uit te wissen en de stealth van hun activiteiten te vergroten.”
EchoCreep ondersteunt het uploaden/downloaden van bestanden en het uitvoeren van opdrachten via “cmd.exe”-mogelijkheden, terwijl Graphworm een meer geavanceerde achterdeur is die een nieuwe “cmd.exe”-sessie kan voortbrengen, een nieuw gemaakt proces kan uitvoeren, bestanden kan uploaden en downloaden van en naar Microsoft OneDrive, en de eigen uitvoering ervan kan stoppen na ontvangst van een signaal van de operators.
Uit een analyse van het Discord-kanaal dat EchoCreep als C2 gebruikt, blijkt dat de eerste opdrachten al op 21 maart 2024 werden verzonden. In totaal zijn er 433 Discord-berichten via de C2-server verzonden.
Hoe deze achterdeurtjes precies worden geleverd en het initiële toegangspad dat door Webworm wordt gebruikt, is momenteel onbekend. Het is echter gebleken dat de aanvaller open-sourcehulpprogramma’s zoals dirsearch en nuclei gebruikt om de webserverbestanden en -mappen van het slachtoffer bruut te forceren en naar kwetsbaarheden daarin te zoeken.
De onthulling komt op het moment dat Cisco Talos licht werpt op een BadIIS-variant die waarschijnlijk wordt verkocht of gedeeld door meerdere Chineessprekende cybercriminaliteitsgroepen onder een Malware-as-a-Service (MaaS)-model dat is ontworpen voor het continu genereren van inkomsten. Er wordt aangenomen dat het aanbod in ieder geval sinds 30 september 2021 in ontwikkeling is.
Dezelfde malware-auteur, die opereert onder de alias ‘lwxat’, heeft ook een reeks aanvullende tools beschikbaar gesteld, waaronder op services gebaseerde installatieprogramma’s, droppers en persistentiemechanismen die de implementatie automatiseren, de overlevingskansen bij het opnieuw opstarten van de IIS-server garanderen en detectie omzeilen.
De dienst biedt een speciale bouwtool waarmee ‘bedreigingsactoren configuratiebestanden kunnen genereren, payloads kunnen aanpassen en parameters in BadIIS-binaire bestanden kunnen injecteren – waardoor mogelijkheden worden geboden zoals het omleiden van verkeer naar illegale sites, reverse proxying voor manipulatie van zoekmachinecrawlers, inhoudkaping en backlink-injectie voor kwaadaardige zoekmachineoptimalisatie (SEO) fraude’, zei Talos-onderzoeker Joey Chen.
