Webworm использует Discord и Microsoft Graph для атак на европейские госорганизации

ESET описала новые кампании связанной с Китаем APT-группы Webworm против европейских целей. В арсенале группы появились бэкдоры EchoCreep и GraphWorm, которые используют Discord и Microsoft Graph API/OneDrive как каналы управления и передачи данных.

20 мая ESET Research выпустила технический отчет Webworm: New burrowing techniques о новой активности Webworm. Группа связана с другими китайскими APT, такими как SixLittleMonkeys and FishMonger. По данным исследователей, после ранней ориентации на азиатские цели она в 2024–2025 годах смещала фокус на Европу.

В кампаниях 2025 года Webworm добавила два бэкдора: EchoCreep использует Discord для загрузки файлов, отправки отчетов о запуске и получения команд, а GraphWorm работает через Microsoft Graph API и OneDrive — получает задания и выгружает сведения о жертве. ESET расшифровала более 400 сообщений Discord и связала кампанию с Webworm через репозиторий GitHub и IP-адрес из конфигурации SoftEther VPN, совпавший с ранее известной инфраструктурой группы.

Наблюдались атаки на государственные организации в Бельгии, Италии, Сербии и Польше; в отчете также описана эксфильтрация файлов из испанской госструктуры через скомпрометированный S3-бакет. Webworm продолжает использовать GitHub для размещения инструментов, а для разведки применялись open-source-сканеры nuclei и dirsearch; ESET опубликовала индикаторы компрометации и привязку техник к MITRE ATT&CK.