Investigadores de ciberseguridad han descubierto actividad reciente de **Webworm**, un actor de amenazas con presuntos vínculos con China, que despliega puertas traseras personalizadas que utilizan **Discord** y la **API de Microsoft Graph** para comunicaciones de comando y control (C2). ### Historial y Evolución de Webworm Documentado por primera vez por **Symantec** en septiembre de 2022, **Webworm** ha estado activo desde al menos 2022. El grupo se dirige a agencias gubernamentales y empresas en los sectores de servicios de TI, aeroespacial y energía eléctrica en Rusia, Georgia, Mongolia y varias otras naciones asiáticas. Históricamente, los ataques de **Webworm** han implicado troyanos de acceso remoto (RAT) como Trochilus RAT, Gh0st RAT y 9002 RAT (también conocido como Hydraq y McRat). Existe solapamiento entre este actor de amenazas y otros clústeres con nexo chino, incluidos FishMonger (también conocido como Aquatic Panda), SixLittleMonkeys y Space Pirates. SixLittleMonkeys es conocido por desplegar Gh0st RAT y Mikroceen, apuntando a entidades en Asia Central, Rusia, Bielorrusia y Mongolia. "En los últimos años, ha comenzado a moverse hacia herramientas proxy existentes y personalizadas, que son más sigilosas que las puertas traseras completas", dijo Eric Howard, investigador de **ESET**. "En 2025, Webworm también agregó dos nuevas puertas traseras a su conjunto de herramientas: EchoCreep, que utiliza **Discord** para la comunicación C&C, y GraphWorm, que utiliza la **API de Microsoft Graph** para el mismo propósito." ### Nuevas Puertas Traseras: EchoCreep y GraphWorm **Webworm** utiliza un repositorio de **GitHub** que imita un fork de **WordPress** ("github[.]com/anjsdgasdf/WordPress") como zona de preparación para malware y herramientas como SoftEther VPN. Esta táctica tiene como objetivo pasar desapercibido y evadir la detección. El uso de SoftEther VPN es un enfoque común entre varios grupos de hackers chinos.  En los últimos dos años, el adversario ha pasado de puertas traseras tradicionales a utilidades semi-legítimas como proxies SOCKS, con un enfoque creciente en países europeos, incluidas organizaciones gubernamentales en Bélgica, Italia, Serbia, Polonia y España, y una universidad local en Sudáfrica. El descubrimiento de EchoCreep y GraphWorm resalta la evolución del conjunto de herramientas de **Webworm**. Si bien Trochilus y 9002 RAT parecen haber sido abandonados, otras herramientas notables incluyen iox y soluciones de proxy personalizadas como WormFrp, ChainWorm, SmuxProxy y WormSocket. WormFrp recupera configuraciones de un bucket comprometido de **Amazon S3**. **ESET** señala que estas herramientas de proxy personalizadas cifran las comunicaciones y admiten el encadenamiento a través de múltiples hosts, tanto interna como externamente. Los operadores probablemente utilizan estas herramientas con SoftEther VPN para ocultar sus actividades. EchoCreep admite la carga/descarga de archivos y la ejecución de comandos a través de "cmd.exe", mientras que GraphWorm es una puerta trasera más avanzada capaz de generar nuevas sesiones de "cmd.exe", ejecutar nuevos procesos, cargar/descargar archivos desde/hacia **Microsoft OneDrive** y terminar su propia ejecución al recibir una señal.  El análisis del canal de **Discord** utilizado por EchoCreep para C2 revela comandos que datan del 21 de marzo de 2024, con un total de 433 mensajes de **Discord** enviados a través del servidor C2. ### Acceso Inicial y Escaneo de Vulnerabilidades La vía de acceso inicial utilizada por **Webworm** sigue siendo desconocida. Sin embargo, el atacante utiliza utilidades de código abierto como dirsearch y nuclei para realizar ataques de fuerza bruta contra archivos y directorios de servidores web de víctimas y buscar vulnerabilidades. ### BadIIS Malware-as-a-Service Esta divulgación coincide con el informe de **Cisco Talos** sobre una variante de BadIIS, probablemente compartida o vendida entre grupos de cibercrimen de habla china bajo un modelo de malware como servicio (MaaS). Esta oferta, en desarrollo desde al menos el 30 de septiembre de 2021, permite la monetización continua. El autor del malware, conocido como "lwxat", proporciona herramientas complementarias, que incluyen instaladores basados en servicios, droppers y mecanismos de persistencia, para automatizar el despliegue, garantizar la supervivencia a través de reinicios del servidor IIS y evadir la detección. El servicio cuenta con una herramienta constructora que permite a los actores de amenazas generar archivos de configuración, personalizar payloads e inyectar parámetros en binarios de BadIIS, lo que permite el redireccionamiento de tráfico, proxy inverso, secuestro de contenido e inyección de backlinks para fraude de SEO malicioso, según el investigador de **Talos** Joey Chen.