Webworm APT
Cybersicherheitsforscher haben neue Aktivitäten der mit China verbundenen Bedrohungsgruppe Webworm festgestellt. Im Fokus steht dabei der Einsatz komplexer, speziell entwickelter Hintertüren, die Discord und die Microsoft Graph API für die Kommando- und Kontrollkommunikation (C2) missbrauchen. Die jüngsten Aktivitäten spiegeln eine Weiterentwicklung der operativen Strategie der Gruppe wider, die zunehmend auf Tarnung, Proxy-basierte Infrastruktur und den Missbrauch legitimer Plattformen setzt, um der Entdeckung zu entgehen.
Inhaltsverzeichnis
Eine anhaltende Bedrohung für kritische Sektoren
Webworm, das erstmals im September 2022 öffentlich dokumentiert wurde, ist vermutlich mindestens seit diesem Jahr aktiv. Die Gruppe hat es gezielt auf staatliche Institutionen und Unternehmen aus Branchen wie IT-Dienstleistungen, Luft- und Raumfahrt sowie Energiewirtschaft abgesehen. Opfer wurden in Russland, Georgien, der Mongolei und mehreren asiatischen Ländern identifiziert.
Die Bedrohungsakteure setzten in der Vergangenheit vorwiegend auf Remote-Access-Trojaner wie Trochilus RAT, Gh0st RAT und 9002 RAT (auch bekannt als Hydraq oder McRat). Sicherheitsanalysten brachten die Aktivitäten der Gruppe zudem mit mehreren in China ansässigen Clustern in Verbindung, darunter FishMonger, SixLittleMonkeys und Space Pirates. SixLittleMonkeys erregte insbesondere Aufsehen durch den Einsatz von Gh0st RAT und der Mikroceen-Malware-Familie gegen Organisationen in Zentralasien, Belarus, Russland und der Mongolei.
Umstellung auf verdecktere Operationen
In den letzten zwei Jahren hat sich Webworm schrittweise von traditionellen Malware-Frameworks hin zu unauffälligen Proxy-Tools und halb-legitimen Netzwerkwerkzeugen entwickelt. Dieser Übergang scheint darauf abzuzielen, das Entdeckungsrisiko zu verringern und gleichzeitig den dauerhaften Zugriff in kompromittierten Umgebungen aufrechtzuerhalten.
Im Jahr 2025 führte die Gruppe zwei neu identifizierte Hintertüren in ihr Arsenal ein:
EchoCreep nutzt Discord für die Befehls- und Kontrollsteuerung und unterstützt neben der Remote-Befehlsausführung über cmd.exe auch Dateiübertragungen.
GraphWorm ist ein fortschrittlicheres Implantat, das über die Microsoft Graph API kommuniziert und es den Bedienern ermöglicht, neue cmd.exe-Sitzungen zu erstellen, Prozesse zu starten, Dateien über Microsoft OneDrive hoch- und herunterzuladen und die eigene Ausführung nach Erhalt von Bedieneranweisungen zu beenden.
Forscher beobachteten zudem die Nutzung eines als WordPress-Fork getarnten GitHub-Repositorys, das Schadsoftware und Hilfsprogramme wie SoftEther VPN hostete. Diese Taktik ermöglicht es, schädliche Infrastruktur in legitime Entwicklungsaktivitäten einzubetten und so die Erkennung zu erschweren. Die Verwendung von SoftEther VPN entspricht Methoden, die bereits von mehreren chinesischen Cyberspionagegruppen angewendet wurden.
Erweiterung der geografischen Reichweite und der Proxy-Infrastruktur
Die jüngsten Kampagnen von Webworm zeigen einen zunehmenden Fokus auf europäische Ziele, darunter Regierungsorganisationen in Belgien, Italien, Serbien, Polen und Spanien sowie eine Universität in Südafrika.
Gleichzeitig scheint der Angreifer ältere Malware-Familien wie Trochilus und 9002 RAT zugunsten eigener Proxy-Frameworks und Tunneling-Tools schrittweise zu ersetzen. Zu den weiteren mit der Gruppe in Verbindung stehenden Tools gehören iox, WormFrp, ChainWorm, SmuxProxy und WormSocket. Die Ermittler stellten fest, dass WormFrp Konfigurationsdaten aus einem kompromittierten Amazon-S3-Bucket abruft.
Diese Proxy-Tools sind so konzipiert, dass sie die Kommunikation verschlüsseln und verkettete Verbindungen zwischen internen und externen Systemen ermöglichen. Dadurch können Angreifer den Datenverkehr über mehrere Hosts leiten und gleichzeitig ihre operativen Aktivitäten verschleiern. Analysten gehen davon aus, dass diese Tools häufig mit SoftEther VPN kombiniert werden, um die Bewegungen der Angreifer weiter zu verschleiern und ihre Persistenz zu verbessern.
Discord-basierte Kommandoaktivitäten enthüllen operatives Ausmaß
Die Analyse der von EchoCreep genutzten Discord-Infrastruktur ergab, dass der Befehlsverkehr mindestens bis zum 21. März 2024 zurückreicht. Die Forscher identifizierten 433 Nachrichten, die über die bösartige, auf Discord basierende C2-Umgebung übertragen wurden und mehr als 50 verschiedene Ziele betrafen.
Obwohl die genaue Methode des ersten Zugriffs weiterhin unbekannt ist, stellten die Ermittler fest, dass die Betreiber von Webworm aktiv Open-Source-Tools zur Aufklärung und Ausnutzung von Sicherheitslücken wie dirsearch und nuclei einsetzen. Diese Tools werden verwendet, um Webserver-Verzeichnisse per Brute-Force-Angriff zu durchsuchen, ungeschützte Dateien zu identifizieren und nach ausnutzbaren Sicherheitslücken zu suchen.
Schwache Beweise, die Webworm mit Weltraumpiraten in Verbindung bringen
Trotz gewisser Ähnlichkeiten in der Funktionsweise warnen Forscher davor, dass die Verbindung zwischen Webworm und der Space-Piraten-Gruppe weiterhin unklar ist. Die derzeitigen Überschneidungen beschränken sich offenbar hauptsächlich auf die Verwendung öffentlich verfügbarer RATs und gemeinsam genutzter Werkzeugmuster. Es gibt nicht genügend Beweise, um eine eindeutige Beziehung zwischen den beiden Bedrohungsgruppen herzustellen.
