Webworm rozwija arsenał: EchoCreep i GraphWorm ukrywają komunikację w Discordzie oraz Microsoft Graph API - Security Bez Tabu

Webworm rozwija arsenał: EchoCreep i GraphWorm ukrywają komunikację w Discordzie oraz Microsoft Graph API

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa Webworm, łączona z działalnością cyberwywiadowczą prowadzoną w interesie Chin, została powiązana z nową falą operacji, w których wykorzystano dwa nowe tylne wejścia: EchoCreep i GraphWorm. Oba implanty wyróżniają się tym, że do komunikacji command-and-control korzystają z legalnych, powszechnie używanych usług internetowych, co utrudnia wykrywanie i pozwala ukrywać złośliwy ruch w normalnej aktywności sieciowej.

To podejście wpisuje się w coraz częstszy trend obserwowany w kampaniach APT, gdzie operatorzy rezygnują z łatwo identyfikowalnej własnej infrastruktury na rzecz nadużywania zaufanych platform chmurowych i komunikacyjnych.

W skrócie

Webworm działa co najmniej od 2022 roku i był wcześniej obserwowany w kampaniach wymierzonych w administrację publiczną oraz sektor przedsiębiorstw. W najnowszych działaniach grupa rozszerzyła swój zestaw narzędzi o dwa nowe backdoory.

  • EchoCreep wykorzystuje Discord jako kanał C2.
  • GraphWorm opiera komunikację na Microsoft Graph API i integruje się z OneDrive.
  • Operatorzy nadal używają GitHuba do przechowywania komponentów i ładunków.
  • Dodatkowo stosowane są narzędzia proxy oraz rozwiązania VPN wspierające ukrywanie aktywności i ruch lateralny.

Kontekst / historia

Choć Webworm został publicznie opisany kilka lat temu, analiza kolejnych kampanii pokazuje, że grupa stale rozwija zarówno swoje techniki, jak i zaplecze narzędziowe. W przeszłości przypisywano jej korzystanie z rodzin malware takich jak Trochilus RAT czy 9002 RAT, jednak z czasem operatorzy zaczęli przesuwać akcent z klasycznych backdoorów na tunele, proxy i komponenty komunikujące się przez legalne usługi.

Widoczna jest również zmiana w doborze celów. Wcześniejsze operacje były silnie związane z Azją i regionem postsowieckim, natomiast nowsze kampanie sugerują większe zainteresowanie Europą. Na liście potencjalnych ofiar znajdują się organizacje rządowe, instytucje publiczne oraz podmioty działające w sektorach o znaczeniu strategicznym.

Analiza techniczna

Najważniejszym elementem najnowszej aktywności Webworm jest wdrożenie dwóch nowych implantów zaprojektowanych z myślą o dyskretnej komunikacji i elastycznej obsłudze poleceń.

EchoCreep to backdoor wykorzystujący Discord do realizacji komunikacji C2. Z perspektywy obrońców oznacza to, że polecenia i odpowiedzi mogą być przesyłane przez usługę często dopuszczoną w ruchu wychodzącym. Malware umożliwia wykonywanie poleceń systemowych za pośrednictwem cmd.exe oraz transfer plików w obu kierunkach. Taki model znacząco utrudnia wykrywanie, gdy organizacja traktuje ruch do popularnych platform jako domyślnie bezpieczny.

GraphWorm jest bardziej zaawansowanym komponentem. Backdoor wykorzystuje Microsoft Graph API jako warstwę komunikacyjną i obsługuje operacje związane z OneDrive. Umożliwia uruchamianie nowych procesów, tworzenie sesji cmd.exe, pobieranie i wysyłanie plików, a także samoczynne zakończenie działania po otrzymaniu odpowiedniego polecenia od operatora. To rozwiązanie pozwala napastnikom działać w sposób bardziej elastyczny i ogranicza skuteczność detekcji opartej wyłącznie na podejrzanych domenach czy niestandardowych protokołach.

W kampanii wykorzystywano także repozytoria GitHub podszywające się pod legalne projekty, między innymi związane z WordPressem. Tego typu metoda dostarczania ładunków pozwala korzystać z reputacji zaufanej platformy i zmniejsza potrzebę utrzymywania własnej infrastruktury, którą łatwiej byłoby zidentyfikować i zablokować.

Istotnym elementem działań Webworm pozostaje też warstwa pośrednicząca. Grupa miała używać SoftEther VPN oraz własnych narzędzi proxy, takich jak WormFrp, ChainWorm, SmuxProxy i WormSocket. W praktyce oznacza to nacisk na tunelowanie, szyfrowanie i łańcuchowanie połączeń przez wiele hostów, co utrudnia analizę ścieżki ruchu, przypisanie aktywności do jednego punktu wejścia i pełne odtworzenie przebiegu incydentu.

Nadal nie ustalono jednoznacznie, jaki był pierwotny wektor dostępu w opisywanych incydentach. Dostępne ustalenia wskazują jednak, że operatorzy prowadzili rozpoznanie z użyciem powszechnie dostępnych narzędzi do wyszukiwania katalogów, plików i podatności w publicznie wystawionych serwerach WWW.

Konsekwencje / ryzyko

Wykorzystanie Discorda, GitHuba i Microsoft Graph API znacząco zwiększa ryzyko dla organizacji, które opierają wykrywanie głównie na blokowaniu podejrzanych adresów lub domen. Ruch do legalnych usług chmurowych i platform społecznościowych może wyglądać jak zwykła aktywność użytkownika lub aplikacji, przez co złośliwe działania łatwiej ukrywają się w tle.

Dla zespołów SOC oznacza to konieczność przesunięcia nacisku z prostego filtrowania reputacyjnego na analizę behawioralną. Szczególnie niebezpieczne są scenariusze, w których skompromitowany host używa legalnych interfejsów API do wykonywania poleceń, przesyłania danych i utrzymywania trwałości. Taki model osłabia skuteczność tradycyjnych wskaźników kompromitacji, zwłaszcza gdy przeciwnik regularnie zmienia artefakty i infrastrukturę pośredniczącą.

Dodatkowym problemem jest zastosowanie proxy i VPN do budowania wielowarstwowych ścieżek komunikacji. W praktyce utrudnia to ustalenie skali incydentu, wykrycie wszystkich zaangażowanych hostów i ocenę zakresu ewentualnej eksfiltracji danych.

Rekomendacje

Organizacje powinny traktować ruch do legalnych platform chmurowych i komunikacyjnych jako obszar wymagający inspekcji kontekstowej, a nie jako ruch automatycznie zaufany. Kluczowe staje się monitorowanie nietypowych wywołań API, anomalii w wykorzystaniu OneDrive, GitHuba i komunikatorów oraz korelowanie tych zdarzeń z aktywnością procesów lokalnych.

W środowiskach Windows szczególną uwagę należy zwrócić na nietypowe uruchomienia cmd.exe, tworzenie nowych procesów przez nieznane binaria oraz transfery plików inicjowane przez procesy, które normalnie nie komunikują się z usługami chmurowymi.

  • Ograniczać ruch wychodzący tylko do uzasadnionych usług i segmentować sieć.
  • Wzmacniać uwierzytelnianie oraz kontrolę dostępu do kont chmurowych.
  • Korelować logi z warstwy proxy, EDR, DNS i usług SaaS w jednym procesie detekcyjnym.
  • Regularnie skanować publicznie dostępne zasoby pod kątem błędnych konfiguracji i podatności.
  • Budować reguły wykrywające nadużycia legalnych narzędzi administracyjnych oraz nietypowe użycie tuneli i proxy.
  • Rozszerzać playbooki reagowania o scenariusze związane z nadużyciem usług SaaS jako kanału C2.

Podsumowanie

Aktywność Webworm pokazuje, że nowoczesne kampanie APT coraz częściej wykorzystują zaufane usługi internetowe jako element infrastruktury operacyjnej. EchoCreep i GraphWorm są przykładami narzędzi zaprojektowanych tak, aby łączyć skuteczność działania z maksymalnym utrudnieniem detekcji.

Dla obrońców najważniejszy wniosek jest jasny: zaufane platformy nie mogą być uznawane za bezpieczne z definicji. Skuteczna ochrona wymaga pełniejszej obserwowalności, analizy zachowań procesów i użytkowników oraz korelacji danych z wielu warstw środowiska.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/webworm-deploys-echocreep-and-graphworm.html
  2. WeLiveSecurity / ESET Research — https://www.welivesecurity.com/en/eset-research/webworm-new-burrowing-techniques/