Группа Webworm сменила тактику: новые бэкдоры через Discord и Microsoft Graph для атак на Европу

Исследователи компании ESET завершили анализ активности группы Webworm в 2025 году. Эта хакерская группировка, которую эксперты связывают с Китаем, долгое время охотилась за организациями в Азии, но теперь сместила фокус на Европу. За три года наблюдений специалисты заметили, что злоумышленники постоянно меняют свои инструменты и методы, делая их всё более скрытными.

Описание

Группа Webworm, о которой впервые публично сообщила Symantec в 2022 году, изначально использовала такие известные вредоносные программы, как McRat (известный также как 9002 RAT) и Trochilus. Однако к 2025 году она практически полностью отказалась от них в пользу более изощрённых решений. Главными новинками стали два бэкдора: EchoCreep, использующий для связи с командным центром мессенджер Discord, и GraphWorm, работающий через Microsoft Graph API. Помимо бэкдоров, хакеры применяют как готовые, так и собственные прокси-инструменты, помогающие маскировать трафик. Для хранения вредоносного кода группа по-прежнему использует публичные репозитории GitHub, откуда программы напрямую загружаются на атакованные машины.

В ходе расследования экспертам удалось расшифровать более 400 сообщений Discord, которыми обменивался бэкдор EchoCreep. Эти данные привели их к операторскому серверу, где хранился файл истории команд bash. Анализ этого файла показал, какие инструменты разведки использовались против более чем 50 целей. Отчёт ESET подробно описывает, что атаки в 2025 году затронули правительственные учреждения Бельгии, Италии, Сербии и Польши. Кроме того, жертвой группировки стал один из университетов ЮАР.

Новые бэкдоры заслуживают отдельного внимания. EchoCreep написан на Go и использует Discord в качестве канала управления. Он умеет загружать и скачивать файлы, выполнять команды в командной строке Windows и приостанавливать свою работу на заданное время. Все сообщения шифруются: сначала кодируются в base64, затем расшифровываются алгоритмом AES-CBC-128. GraphWorm, в свою очередь, работает через OneDrive в облаке Microsoft. После установки он создаёт уникальный идентификатор жертвы на основе данных сетевого адаптера, процессора и серийного номера устройства. Для каждого взломанного компьютера в OneDrive создаётся отдельная папка, куда отправляются украденные файлы и откуда приходят команды на выполнение. Этот бэкдор также поддерживает работу через прокси.

Помимо бэкдоров, Webworm активно развивает собственную инфраструктуру прокси-серверов. В 2025 году группа начала использовать кастомные инструменты: WormFrp, ChainWorm, SmuxProxy и WormSocket. Эти программы не только шифруют каналы связи, но и позволяют выстраивать цепочки из нескольких прокси, проходя через множество узлов как внутри сети жертвы, так и за её пределами. Операторы применяют их вместе с легитимным VPN-решением SoftEther, чтобы ещё сильнее запутать следы. Все прокси-серверы и VPN развёрнуты на облачных мощностях Vultr и IT7 Networks.

Отдельный эпизод расследования касается компрометации облачного хранилища Amazon S3. Исследователи обнаружили, что Webworm использует один из своих кастомных прокси - WormFrp - для получения конфигураций из публично доступного S3-бакета. В этом хранилище, помимо прочего, нашлись снимки виртуальных машин, в том числе машины, принадлежащей итальянскому правительственному учреждению. В конце октября 2025 года туда же загрузили исполняемый файл SharpSecretsdump, предназначенный для кражи учётных данных из системы. А в декабре - январе в бакете появились 20 новых файлов, два из которых были похищены у испанской госструктуры: конфигурации удалённых подключений и диаграмма доменной инфраструктуры.

Механизм первоначального проникновения остаётся не до конца ясным, но эксперты нашли важные зацепки. На одном из прокси-серверов, с которым связывалась машина жертвы, обнаружился открытый каталог с инструментами для сканирования веб-серверов. В частности, хакеры использовали dirsearch (утилита для перебора директорий и файлов на веб-серверах) и nuclei (сканер уязвимостей с открытым исходным кодом). Результаты dirsearch показали, что атакам подверглись 56 целей из Испании, Венгрии, Бельгии, Нигерии, Чехии и Сербии. Кроме того, в истории bash нашёлся скрипт, использующий уязвимость CVE-2017-7692, позволяющую выполнить код после аутентификации в веб-клиенте SquirrelMail. Хакеры применили её против сербского веб-сервера, получив учётные данные и, вероятно, именно так проникли внутрь сети.

Группа Webworm продолжает активно развиваться, и её активность в 2025 году наглядно демонстрирует отход от традиционных вредоносных программ в сторону использования легитимных облачных сервисов и собственных прокси-решений. Такой подход делает атаки более незаметными для систем защиты. Специалистам по информационной безопасности стоит обратить внимание на необычный сетевой трафик к Discord API и Microsoft Graph, а также на внезапное появление в инфраструктуре подозрительных прокси-соединений или файлов, связанных с платформами Vultr и IT7 Networks. В любом случае, Webworm остаётся одной из самых активных APT-групп, с которой придётся считаться в ближайшие годы.