Los investigadores de ciberseguridad han alertado sobre una nueva actividad de un actor de amenazas alineado con China conocido como Webworm en 2025, implementando una puerta trasera personalizada que utiliza Discord y Microsoft Graph API para comunicaciones de comando y control (C2 o C&C).
El gusano web fue documentado públicamente por primera vez por Symantec, propiedad de Broadcom, en septiembre de 2022 y se estima que ha estado activo desde al menos 2022, dirigido a agencias gubernamentales y empresas de los sectores de servicios de TI, aeroespacial y energético en Rusia, Georgia, Mongolia y varios otros países de Asia.
Los ataques lanzados por este grupo aprovechan los troyanos de acceso remoto (RAT) como Trochilus RAT, Gh0st RAT y 9002 RAT (también conocidos como Hydraq y McRat). Se dice que este actor de amenazas se superpone con grupos relacionados con China rastreados como FishMonger (también conocido como Aquatic Panda), SixLittleMonkeys y Space Pirate. SixLittleMonkeys es mejor conocido por implementar RAT llamadas Gh0st y Mikroceen, dirigidas a organizaciones en Asia Central, Rusia, Bielorrusia y Mongolia.
«En los últimos años, hemos comenzado a ver un cambio hacia herramientas proxy existentes y personalizadas, que son más sigilosas que las puertas traseras completas», dijo el investigador de ESET Eric Howard. «En 2025, Webworm también agregó dos nuevas puertas traseras a su conjunto de herramientas: EchoCreep, que usa Discord para la comunicación C&C, y GraphWorm, que usa Microsoft Graph API para el mismo propósito».
En el centro de estos esfuerzos está el uso de repositorios de GitHub disfrazados de bifurcaciones de WordPress (‘github(.)com/anjsdgasdf/WordPress’) como puntos de tránsito para el malware y herramientas como SoftEther VPN para mezclarse y esconderse de la multitud. Confiar en SoftEther VPN es un enfoque probado adoptado por varios grupos de hackers chinos.
En los últimos dos años, hemos observado que los atacantes se han alejado de las puertas traseras tradicionales hacia utilidades (semi)legítimas como los servidores proxy SOCKS, al tiempo que se centran cada vez más en países europeos como agencias gubernamentales en Bélgica, Italia, Serbia y Polonia, así como universidades locales en Sudáfrica.
El descubrimiento de EchoCreep y GraphWorm marca la expansión del arsenal de gusanos web, mientras que Trochilus y 9002 RAT parecen haber sido abandonados por los actores de amenazas. Otras herramientas notables son iox y soluciones de proxy personalizadas como WormFrp, ChainWorm, SmuxProxy y WormSocket. Se descubrió que WormFrp obtuvo su configuración de un depósito de Amazon S3 comprometido.
«Estas herramientas de proxy personalizadas no sólo pueden cifrar las comunicaciones, sino que también admiten el encadenamiento entre múltiples hosts tanto dentro como fuera de la red», dijo ESET. «Creemos que los operadores pueden utilizar estas herramientas junto con SoftEther VPN para cubrir mejor el seguimiento y hacer que sus actividades sean más sigilosas».
Si bien EchoCreep admite la carga/descarga de archivos y la ejecución de comandos a través de la funcionalidad «cmd.exe», Graphworm es una puerta trasera más sofisticada que puede generar nuevas sesiones «cmd.exe», ejecutar procesos recién creados, cargar y descargar archivos a Microsoft OneDrive y detener su propia ejecución después de recibir una señal de un operador.
El análisis del canal Discord utilizado por EchoCreep como C2 muestra que el comando más antiguo se envió el 21 de marzo de 2024. Se enviaron un total de 433 mensajes de Discord a través del servidor C2.
Actualmente se desconoce cómo se entregan estas puertas traseras y el vector de acceso inicial utilizado por el gusano web. Sin embargo, se ha descubierto que los atacantes utilizan utilidades de código abierto como dirsearch y nuclei para forzar archivos y directorios en los servidores web de las víctimas y buscar vulnerabilidades dentro de ellos.
Esta divulgación se produce después de que Cisco Talos revelara una variante de BadIIS que probablemente se esté vendiendo o compartiendo entre varios grupos de cibercrimen de habla china bajo un modelo de malware como servicio (MaaS) para una monetización continua. Se cree que el producto ha estado en desarrollo desde al menos el 30 de septiembre de 2021.
El mismo autor de malware, que opera bajo el alias «lwxat», también puso a disposición un conjunto de herramientas auxiliares que incluyen instaladores basados en servicios, cuentagotas y mecanismos de persistencia para automatizar la implementación, garantizar la capacidad de supervivencia tras los reinicios del servidor IIS y evadir la detección.
El servicio proporciona una herramienta de creación patentada que «permite a los atacantes generar archivos de configuración, personalizar cargas útiles e inyectar parámetros en los archivos binarios de BadIIS, habilitando características como redirección de tráfico a sitios ilegales, servidores proxy inversos para la operación de rastreadores de motores de búsqueda, secuestro de contenido e inyección de vínculos de retroceso para fraude malicioso de optimización de motores de búsqueda (SEO)», dijo el investigador de Talos, Joey Chen.
Source link
