Auf den Punkt: Die chinesisch-aligned Hackergruppe Webworm rüstet sich 2025 mit zwei neuen Backdoors aus: EchoCreep nutzt Discord, GraphWorm Microsofts Graph API für Befehls- und Kontrollkommunikation. Die Gruppe konzentriert sich zunehmend auf europäische Ziele und nutzt legitime Tools zur Verschleierung.
Die Cybersicherheitsgruppe ESET warnt vor neuer Aktivität der China-aligned Hackergruppe Webworm, die 2025 maßgeschneiderte Hintertüren einsetzt. Die neuen Backdoors EchoCreep und GraphWorm nutzen Discord und Microsofts Graph API für Befehls- und Kontrollkommunikation.
Webworm, seit September 2022 dokumentiert und seit mindestens 2022 aktiv, zielt auf Behörden und Unternehmen in Russland, Georgien, der Mongolei und anderen asiatischen Ländern ab – insbesondere in den Sektoren IT-Dienstleistungen, Luft- und Raumfahrt sowie Elektrizitätswirtschaft.
Die Gruppe überlappte bislang mit anderen China-gerichteten Hackergruppen wie FishMonger und SixLittleMonkeys und nutzte bekannte Remote-Access-Trojaner wie Trochilus RAT und Gh0st RAT. Doch Webworm entwickelt sich weiter: Im Jahr 2025 hat die Gruppe zwei neue Backdoors hinzugefügt – EchoCreep mit Discord-C2-Kommunikation und GraphWorm, das Microsofts Graph API nutzt.
Die Angreifer nutzen ein GitHub-Repository mit WordPress-Branding („github[.]com/anjsdgasdf/WordPress”) als Staging-Area für Malware und Tools wie SoftEther VPN, um unter dem Radar zu bleiben. Parallel dazu hat sich die Gruppe von traditionellen Backdoors hin zu legitimativen Dienstprogrammen wie SOCKS-Proxies verlagert und konzentriert sich zunehmend auf europäische Ziele, einschließlich Regierungsorganisationen in Belgien, Italien, Serbien, Polen und Spanien.
EchoCreep unterstützt Datei-Upload/Download und Befehlsausführung via cmd.exe. GraphWorm ist eine fortgeschrittenere Backdoor, die neue cmd.exe-Sitzungen starten, Prozesse ausführen sowie Dateien zu Microsoft OneDrive hochladen und herunterladen kann. Analysen zeigen, dass die Discord-Befehle bereits seit März 2024 versendet wurden – insgesamt 433 Nachrichten auf dem C2-Server. Wie genau die Backdoors verbreitet werden, ist noch unklar, jedoch nutzt Webworm Open-Source-Tools wie dirsearch und nuclei zum Brute-Force von Web-Servern.