Pesquisadores de cibersegurança descobriram atividade recente do **Webworm**, um ator de ameaças com suspeitas ligações com a China, implantando backdoors customizados que utilizam **Discord** e **Microsoft Graph API** para comunicações de comando e controle (C2). ### Histórico e Evolução do Webworm Primeiramente documentado pela **Symantec** em setembro de 2022, o **Webworm** está ativo desde pelo menos 2022. O grupo visa agências governamentais e empresas nos setores de serviços de TI, aeroespacial e energia elétrica na Rússia, Geórgia, Mongólia e várias outras nações asiáticas. Historicamente, os ataques do **Webworm** envolveram trojans de acesso remoto (RATs) como Trochilus RAT, Gh0st RAT e 9002 RAT (também conhecido como Hydraq e McRat). Existe sobreposição entre este ator de ameaças e outros clusters com nexo chinês, incluindo FishMonger (também conhecido como Aquatic Panda), SixLittleMonkeys e Space Pirates. O SixLittleMonkeys é conhecido por implantar Gh0st RAT e Mikroceen, visando entidades na Ásia Central, Rússia, Belarus e Mongólia. "Nos últimos anos, ele começou a migrar para ferramentas de proxy existentes e customizadas, que são mais furtivas do que backdoors completos", disse Eric Howard, pesquisador da **ESET**. "Em 2025, o Webworm também adicionou dois novos backdoors ao seu conjunto de ferramentas: EchoCreep, que usa **Discord** para comunicação C&C, e GraphWorm, que usa **Microsoft Graph API** para o mesmo propósito." ### Novos Backdoors: EchoCreep e GraphWorm O **Webworm** utiliza um repositório **GitHub** que se passa por um fork do **WordPress** ("github[.]com/anjsdgasdf/WordPress") como área de preparação para malware e ferramentas como SoftEther VPN. Essa tática visa se misturar e evadir a detecção. O uso do SoftEther VPN é uma abordagem comum entre vários grupos de hacking chineses.  Nos últimos dois anos, o adversário mudou de backdoors tradicionais para utilitários semi-legítimos como proxies SOCKS, com foco crescente em países europeus, incluindo organizações governamentais na Bélgica, Itália, Sérvia, Polônia e Espanha, e uma universidade local na África do Sul. A descoberta do EchoCreep e GraphWorm destaca a evolução do conjunto de ferramentas do **Webworm**. Enquanto Trochilus e 9002 RAT parecem ter sido abandonados, outras ferramentas notáveis incluem iox e soluções de proxy customizadas como WormFrp, ChainWorm, SmuxProxy e WormSocket. O WormFrp recupera configurações de um bucket **Amazon S3** comprometido. A **ESET** observa que essas ferramentas de proxy customizadas criptografam comunicações e suportam encadeamento através de múltiplos hosts, tanto interna quanto externamente. Os operadores provavelmente usam essas ferramentas com SoftEther VPN para ocultar suas atividades. O EchoCreep suporta upload/download de arquivos e execução de comandos via "cmd.exe", enquanto o GraphWorm é um backdoor mais avançado capaz de gerar novas sessões "cmd.exe", executar novos processos, fazer upload/download de arquivos de/para **Microsoft OneDrive** e se encerrar ao receber um sinal.  A análise do canal **Discord** usado pelo EchoCreep para C2 revela comandos datando de 21 de março de 2024, com um total de 433 mensagens **Discord** enviadas via servidor C2. ### Acesso Inicial e Varredura de Vulnerabilidades A via de acesso inicial utilizada pelo **Webworm** permanece desconhecida. No entanto, o atacante utiliza utilitários de código aberto como dirsearch e nuclei para realizar brute-force em arquivos e diretórios de servidores web de vítimas e procurar por vulnerabilidades. ### BadIIS Malware-as-a-Service Esta divulgação coincide com o relatório da **Cisco Talos** sobre uma variante do BadIIS, provavelmente compartilhada ou vendida entre grupos de cibercrime de língua chinesa sob um modelo de malware-as-a-service (MaaS). Esta oferta, em desenvolvimento desde pelo menos 30 de setembro de 2021, permite monetização contínua. O autor do malware, conhecido como "lwxat", fornece ferramentas suplementares, incluindo instaladores baseados em serviço, droppers e mecanismos de persistência, para automatizar a implantação, garantir a sobrevivência em reinícios de servidores IIS e evadir a detecção. O serviço apresenta uma ferramenta construtora que permite aos atores de ameaças gerar arquivos de configuração, customizar payloads e injetar parâmetros em binários do BadIIS, permitindo redirecionamento de tráfego, proxy reverso, sequestro de conteúdo e injeção de backlinks para fraude maliciosa de SEO, de acordo com o pesquisador da **Talos**, Joey Chen.