Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa APT znana jako Webworm została powiązana z nową falą działań cyberszpiegowskich wymierzonych w instytucje rządowe w Europie. W centrum zainteresowania badaczy znalazło się wykorzystanie legalnych lub pozornie nieszkodliwych usług internetowych, takich jak Discord oraz Microsoft Graph API, jako kanałów komunikacji command-and-control. Takie podejście utrudnia wykrywanie, ponieważ złośliwy ruch może przypominać zwykłą aktywność użytkowników i systemów korzystających z popularnych platform chmurowych.
To kolejny przykład ewolucji nowoczesnych operacji szpiegowskich, w których napastnicy odchodzą od łatwo identyfikowalnej infrastruktury C2 na rzecz usług szeroko stosowanych w środowiskach biznesowych i administracyjnych.
W skrócie
- Webworm, grupa przypisywana Chinom, rozszerzyła działalność z Azji na cele w Europie.
- W kampanii wykorzystano dwa nowe backdoory: EchoCreep oraz GraphWorm.
- EchoCreep używa Discorda do komunikacji C2, a GraphWorm opiera się na Microsoft Graph API i infrastrukturze OneDrive.
- Napastnicy stosują również tunele, proxy i narzędzia pośredniczące do ukrywania ruchu i utrzymywania dostępu.
- Na celowniku znalazły się m.in. instytucje w Belgii, Włoszech, Serbii, Hiszpanii i Polsce.
Kontekst / historia
Webworm był wcześniej opisywany jako chińsko-powiązany aktor APT, którego aktywność historycznie koncentrowała się głównie na Azji. Najnowsze analizy wskazują jednak na wyraźne przesunięcie geograficzne oraz zmianę podejścia technicznego. Zamiast polegać wyłącznie na bardziej klasycznych rodzinach malware, takich jak McRat czy Trochilus, operatorzy zaczęli szerzej wykorzystywać autorskie narzędzia proxy, komponenty tunelujące oraz legalne usługi internetowe.
Obserwacje badaczy obejmują okres od początku 2024 roku do początku 2025 roku, ze szczególnym naciskiem na aktywność z 2025 roku. W tym czasie grupa rozbudowała arsenał o nowe implanty i mechanizmy maskowania komunikacji. Taka zmiana wpisuje się w szerszy trend, w którym celem nie jest tylko uzyskanie dostępu, ale także jego utrzymanie przy możliwie niskiej widoczności.
Analiza techniczna
Najciekawszym elementem kampanii są dwa nowe backdoory. EchoCreep wykorzystuje Discord jako kanał command-and-control. Implant może przesyłać pliki, raporty wykonania oraz odbierać polecenia poprzez API platformy. Co istotne, dla poszczególnych ofiar tworzono odrębne serwery Discord, co utrudniało korelację zdarzeń i zmniejszało ryzyko szybkiego ujawnienia całej infrastruktury.
Drugi implant, GraphWorm, wykorzystuje Microsoft Graph API oraz endpointy OneDrive do pobierania poleceń i przesyłania danych z hosta ofiary. W praktyce pozwala to ukryć komunikację wewnątrz powszechnie wykorzystywanego ekosystemu chmurowego Microsoftu. Dla zespołów bezpieczeństwa oznacza to większy problem z wykrywaniem anomalii wyłącznie na podstawie reputacji domen lub prostych reguł sieciowych.
Webworm nie ogranicza się jednak do samych backdoorów. Grupa intensywnie korzysta również z rozwiązań proxy i tunelowania, w tym SoftEther VPN, port forwardingu oraz własnych narzędzi takich jak ChainWorm, SmuxProxy, WormFrp i WormSocket. Narzędzia te służą do maskowania ruchu, łańcuchowania połączeń, wspierania lateral movement oraz wykorzystywania przejętych hostów jako warstwy pośredniej w dalszych etapach operacji.
Badacze odnotowali także przechowywanie złośliwych komponentów i narzędzi w repozytoriach GitHub, co upraszcza dostarczanie payloadów na zainfekowane systemy. Dodatkowo jeden z elementów infrastruktury miał pobierać konfigurację z wykorzystaniem skompromitowanego zasobu Amazon S3. Całość wskazuje na przemyślaną, wielowarstwową architekturę operacyjną opartą na popularnych usługach internetowych.
Wektor początkowego dostępu nie został jednoznacznie potwierdzony. Badacze wskazują jednak, że Webworm używa otwartoźródłowych skanerów podatności do przeszukiwania plików i katalogów serwerów WWW w poszukiwaniu słabych punktów. Sugeruje to, że część infekcji mogła rozpoczynać się od eksploatacji podatności lub błędów konfiguracyjnych, a właściwe implanty były wdrażane po uzyskaniu wstępnego dostępu.
Konsekwencje / ryzyko
Najpoważniejsze ryzyko związane z tą kampanią wynika z niskiej wykrywalności. Komunikacja z Discordem, Microsoft Graph czy OneDrive może nie wzbudzać podejrzeń, szczególnie w organizacjach, które legalnie korzystają z tych usług. Jeśli monitoring bezpieczeństwa nie obejmuje analizy behawioralnej na poziomie procesu, użytkownika i kontekstu działania hosta, aktywność C2 może pozostać niezauważona przez długi czas.
Dla administracji publicznej i organizacji regulowanych oznacza to wysokie ryzyko długotrwałej obecności napastnika w środowisku, kradzieży dokumentów, mapowania sieci, pozyskiwania poświadczeń oraz wykorzystania infrastruktury ofiary do kolejnych operacji. Warstwy pośredniczące, tunele i niestandardowe proxy dodatkowo utrudniają analizę incydentu i odtworzenie pełnej ścieżki ataku.
Istotnym problemem jest także nadużywanie zaufania do legalnych platform chmurowych i popularnych usług komunikacyjnych. W efekcie klasyczne blokady oparte na listach IOC, prostych wskaźnikach reputacyjnych lub pojedynczych domenach przestają być wystarczające jako samodzielny mechanizm obrony.
Rekomendacje
Organizacje powinny potraktować tę kampanię jako wyraźny sygnał, że skuteczna obrona wymaga szerszego monitoringu niż tylko klasyczne sygnatury malware. Kluczowe staje się wykrywanie nietypowej komunikacji wychodzącej do usług takich jak Discord, Microsoft Graph, OneDrive czy zasoby S3, zwłaszcza gdy inicjują ją procesy, które nie powinny nawiązywać tego typu połączeń.
W obszarze prewencji warto ograniczać ekspozycję usług internetowych, prowadzić regularne skanowanie podatności własnych zasobów, skracać czas wdrażania poprawek oraz wzmacniać hardening systemów publicznie dostępnych. Jeśli napastnicy faktycznie wykorzystują błędy konfiguracyjne lub podatności do uzyskania dostępu początkowego, zarządzanie podatnościami pozostaje jednym z najważniejszych środków obronnych.
- monitorowanie połączeń sieciowych per proces i per host,
- analiza transferów danych do usług chmurowych poza standardowym workflow,
- detekcja narzędzi tunelujących, port forwardingu i niestandardowych proxy,
- korelacja zdarzeń EDR, proxy, DNS i logów tożsamości,
- ograniczenie uruchamiania nieautoryzowanych narzędzi administracyjnych i sieciowych,
- przygotowanie scenariuszy threat huntingu pod kątem ukrytego C2 w legalnych usługach SaaS.
Z perspektywy response zespoły bezpieczeństwa powinny sprawdzać, czy hosty robocze i serwery nie komunikują się z platformami chmurowymi w sposób odbiegający od profilu użytkownika, czasu pracy, typowego wolumenu danych lub listy dozwolonych aplikacji.
Podsumowanie
Aktywność Webworm pokazuje wyraźny trend w nowoczesnym cyberszpiegostwie: odejście od łatwo rozpoznawalnej infrastruktury malware na rzecz legalnych usług internetowych, niestandardowych proxy i technik tunelowania. EchoCreep i GraphWorm są przykładami implantów zaprojektowanych nie tylko do utrzymania dostępu, ale również do maksymalnego obniżenia widoczności operacji.
Dla obrońców oznacza to konieczność przesunięcia ciężaru z prostego wykrywania IOC na analizę zachowania, kontekstu procesu oraz anomalii w komunikacji z usługami chmurowymi. W przypadku instytucji publicznych i organizacji o wysokiej wartości strategicznej stawką pozostaje nie tylko pojedynczy incydent, ale potencjalnie wielomiesięczna, ukryta operacja wywiadowcza.
Źródła
- Dark Reading — https://www.darkreading.com/endpoint-security/chinas-webworm-discord-microsoft-graphs
- ESET Newsroom — ESET uncovers the expanded arsenal of China-aligned Webworm; European governments targeted — https://www.eset.com/us/about/newsroom/research/eset-research-china-aligned-webworm-european-governments-targeted/
- WeLiveSecurity — Webworm: New burrowing techniques — https://www.welivesecurity.com/
- The Hacker News — Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API — https://thehackernews.com/2026/05/webworm-deploys-echocreep-and-graphworm.html