Cybersicherheitsforscher haben kürzliche Aktivitäten von **Webworm**, einem Akteur mit mutmaßlichen Verbindungen zu China, aufgedeckt, der maßgeschneiderte Backdoors einsetzt, die **Discord** und die **Microsoft Graph API** für Command-and-Control (C2)-Kommunikation nutzen. ### Geschichte und Entwicklung von Webworm Erstmals im September 2022 von **Symantec** dokumentiert, ist **Webworm** seit mindestens 2022 aktiv. Die Gruppe zielt auf Regierungsbehörden und Unternehmen in den Sektoren IT-Dienstleistungen, Luft- und Raumfahrt sowie Elektrizitätswirtschaft in Russland, Georgien, der Mongolei und verschiedenen anderen asiatischen Ländern ab. Historisch gesehen beinhalteten die Angriffe von **Webworm** Remote-Access-Trojaner (RATs) wie Trochilus RAT, Gh0st RAT und 9002 RAT (auch bekannt als Hydraq und McRat). Es gibt Überschneidungen zwischen diesem Akteur und anderen China-nahen Clustern, darunter FishMonger (auch bekannt als Aquatic Panda), SixLittleMonkeys und Space Pirates. SixLittleMonkeys ist bekannt für den Einsatz von Gh0st RAT und Mikroceen, wobei Ziele in Zentralasien, Russland, Weißrussland und der Mongolei ins Visier genommen werden. "In den letzten Jahren hat sich die Gruppe sowohl bestehenden als auch maßgeschneiderten Proxy-Tools zugewandt, die heimlicher sind als vollwertige Backdoors", sagte **ESET**-Forscher Eric Howard. "Im Jahr 2025 fügte Webworm auch zwei neue Backdoors zu seinem Werkzeugkasten hinzu: EchoCreep, das **Discord** für die C&C-Kommunikation nutzt, und GraphWorm, das die **Microsoft Graph API** für denselben Zweck verwendet." ### Neue Backdoors: EchoCreep und GraphWorm **Webworm** nutzt ein **GitHub**-Repository, das einen **WordPress**-Fork imitiert ("github[.]com/anjsdgasdf/WordPress"), als Staging-Bereich für Malware und Tools wie SoftEther VPN. Diese Taktik zielt darauf ab, unauffällig zu bleiben und Erkennung zu vermeiden. Die Verwendung von SoftEther VPN ist ein gängiger Ansatz bei mehreren chinesischen Hacking-Gruppen.  In den letzten zwei Jahren hat sich der Angreifer von traditionellen Backdoors zu semi-legitimen Dienstprogrammen wie SOCKS-Proxys verlagert, mit zunehmendem Fokus auf europäische Länder, darunter Regierungsbehörden in Belgien, Italien, Serbien, Polen und Spanien, sowie eine lokale Universität in Südafrika. Die Entdeckung von EchoCreep und GraphWorm unterstreicht die Weiterentwicklung des Werkzeugkastens von **Webworm**. Während Trochilus und 9002 RAT offenbar aufgegeben wurden, gehören zu den weiteren bemerkenswerten Tools iox und benutzerdefinierte Proxy-Lösungen wie WormFrp, ChainWorm, SmuxProxy und WormSocket. WormFrp ruft Konfigurationen aus einem kompromittierten **Amazon S3**-Bucket ab. **ESET** stellt fest, dass diese benutzerdefinierten Proxy-Tools die Kommunikation verschlüsseln und das Verketten über mehrere Hosts hinweg unterstützen, sowohl intern als auch extern. Betreiber nutzen diese Tools wahrscheinlich zusammen mit SoftEther VPN, um ihre Aktivitäten zu verschleiern. EchoCreep unterstützt Datei-Uploads/-Downloads und die Ausführung von Befehlen über "cmd.exe", während GraphWorm eine fortschrittlichere Backdoor ist, die neue "cmd.exe"-Sitzungen starten, neue Prozesse ausführen, Dateien zu/von **Microsoft OneDrive** hochladen/herunterladen und sich selbst beenden kann, wenn sie ein Signal erhält.  Die Analyse des von EchoCreep für die C2 genutzten **Discord**-Kanals zeigt Befehle vom 21. März 2024, mit insgesamt 433 über den C2-Server gesendeten **Discord**-Nachrichten. ### Initialer Zugriff und Schwachstellenscans Der von **Webworm** verwendete initiale Zugriffspfad ist unbekannt. Der Angreifer nutzt jedoch Open-Source-Tools wie dirsearch und nuclei, um Webserver-Dateien und -Verzeichnisse von Opfern per Brute-Force zu durchsuchen und nach Schwachstellen zu suchen. ### BadIIS Malware-as-a-Service Diese Enthüllung fällt mit dem Bericht von **Cisco Talos** über eine BadIIS-Variante zusammen, die wahrscheinlich unter einem Malware-as-a-Service (MaaS)-Modell zwischen chinesischsprachigen Cybercrime-Gruppen geteilt oder verkauft wird. Dieses Angebot, das seit mindestens dem 30. September 2021 in Entwicklung ist, ermöglicht eine kontinuierliche Monetarisierung. Der Malware-Autor, bekannt als "lwxat", stellt ergänzende Tools bereit, darunter servicebasierte Installer, Dropper und Persistenzmechanismen, um die Bereitstellung zu automatisieren, die Überlebensfähigkeit bei Neustarts von IIS-Servern zu gewährleisten und die Erkennung zu umgehen. Der Dienst verfügt über ein Builder-Tool, mit dem Bedrohungsakteure Konfigurationsdateien generieren, Payloads anpassen und Parameter in BadIIS-Binärdateien einfügen können, was laut **Talos**-Forscher Joey Chen die Umleitung von Datenverkehr, Reverse-Proxying, Content-Hijacking und die Injektion von Backlinks für betrügerische SEO-Zwecke ermöglicht.