Des chercheurs en cybersécurité ont découvert une activité récente de **Webworm**, un acteur de la menace suspecté d'avoir des liens avec la Chine, déployant des backdoors personnalisées qui utilisent **Discord** et **Microsoft Graph API** pour les communications de commandement et de contrôle (C2). ### Historique et Évolution de Webworm Premièrement documenté par **Symantec** en septembre 2022, **Webworm** est actif depuis au moins 2022. Le groupe cible des agences gouvernementales et des entreprises dans les secteurs des services informatiques, de l'aérospatiale et de l'énergie électrique en Russie, Géorgie, Mongolie et dans diverses autres nations asiatiques. Historiquement, les attaques de **Webworm** impliquaient des chevaux de Troie d'accès à distance (RAT) tels que Trochilus RAT, Gh0st RAT et 9002 RAT (alias Hydraq et McRat). Il existe des recoupements entre cet acteur de la menace et d'autres clusters liés à la Chine, notamment FishMonger (alias Aquatic Panda), SixLittleMonkeys et Space Pirates. SixLittleMonkeys est connu pour déployer Gh0st RAT et Mikroceen, ciblant des entités en Asie centrale, en Russie, en Biélorussie et en Mongolie. "Ces dernières années, il a commencé à se tourner vers des outils proxy existants et personnalisés, qui sont plus furtifs que des backdoors complètes", a déclaré Eric Howard, chercheur chez **ESET**. "En 2025, Webworm a également ajouté deux nouvelles backdoors à sa boîte à outils : EchoCreep, qui utilise **Discord** pour la communication C&C, et GraphWorm, qui utilise **Microsoft Graph API** dans le même but." ### Nouvelles Backdoors : EchoCreep et GraphWorm **Webworm** utilise un dépôt **GitHub** usurpant un fork de **WordPress** ("github[.]com/anjsdgasdf/WordPress") comme zone de transit pour les malwares et outils tels que SoftEther VPN. Cette tactique vise à se fondre dans la masse et à échapper à la détection. L'utilisation de SoftEther VPN est une approche courante parmi plusieurs groupes de piratage chinois.  Au cours des deux dernières années, l'adversaire est passé des backdoors traditionnelles à des utilitaires semi-légitimes comme les proxies SOCKS, avec une attention croissante portée aux pays européens, y compris les organisations gouvernementales en Belgique, Italie, Serbie, Pologne et Espagne, ainsi qu'à une université locale en Afrique du Sud. La découverte d'EchoCreep et GraphWorm met en évidence l'évolution de la boîte à outils de **Webworm**. Bien que Trochilus et 9002 RAT semblent avoir été abandonnés, d'autres outils notables incluent iox et des solutions proxy personnalisées comme WormFrp, ChainWorm, SmuxProxy et WormSocket. WormFrp récupère les configurations à partir d'un bucket **Amazon S3** compromis. **ESET** note que ces outils proxy personnalisés chiffrent les communications et prennent en charge le chaînage sur plusieurs hôtes, tant en interne qu'en externe. Les opérateurs utilisent probablement ces outils avec SoftEther VPN pour dissimuler leurs activités. EchoCreep prend en charge le téléchargement/téléversement de fichiers et l'exécution de commandes via "cmd.exe", tandis que GraphWorm est une backdoor plus avancée capable de lancer de nouvelles sessions "cmd.exe", d'exécuter de nouveaux processus, de télécharger/téléverser des fichiers vers/depuis **Microsoft OneDrive**, et de s'auto-terminer à la réception d'un signal.  L'analyse du canal **Discord** utilisé par EchoCreep pour le C2 révèle des commandes datant du 21 mars 2024, avec un total de 433 messages **Discord** envoyés via le serveur C2. ### Accès Initial et Scan de Vulnérabilités La voie d'accès initiale utilisée par **Webworm** reste inconnue. Cependant, l'attaquant utilise des utilitaires open-source comme dirsearch et nuclei pour effectuer des attaques par force brute sur les fichiers et répertoires des serveurs web des victimes et rechercher des vulnérabilités. ### BadIIS Malware-as-a-Service Cette divulgation coïncide avec le rapport de **Cisco Talos** sur une variante de BadIIS, probablement partagée ou vendue entre des groupes de cybercriminalité sinophones sous un modèle de malware-as-a-service (MaaS). Cette offre, en développement depuis au moins le 30 septembre 2021, permet une monétisation continue. L'auteur du malware, connu sous le nom de "lwxat", fournit des outils supplémentaires, notamment des installateurs basés sur des services, des droppers et des mécanismes de persistance, pour automatiser le déploiement, assurer la survie après les redémarrages des serveurs IIS et échapper à la détection. Le service comprend un outil de création qui permet aux acteurs de la menace de générer des fichiers de configuration, de personnaliser des payloads et d'injecter des paramètres dans les binaires BadIIS, permettant la redirection du trafic, le proxy inversé, le détournement de contenu et l'injection de backlinks pour la fraude SEO malveillante, selon Joey Chen, chercheur chez **Talos**.