Atividade observada em 2025 mostra o grupo alinhado à China substituindo RATs tradicionais por proxys e backdoors próprios, com uso de serviços legítimos para tráfego de comando, movimentação e transferência de arquivos.
| Componente | Conjunto de ferramentas do Webworm, incluindo os backdoors EchoCreep e GraphWorm, proxys personalizados e utilitários como SoftEther VPN, iox, dirsearch e nuclei. |
| Vetor | O acesso inicial não foi confirmado; a atividade conhecida envolve enumeração e força bruta contra arquivos e diretórios de servidores web, além de busca por vulnerabilidades usando ferramentas abertas. |
| Impacto | EchoCreep permite execução de comandos e transferência de arquivos; GraphWorm amplia o controle com sessões de cmd.exe, criação de processos, uso de Microsoft OneDrive e interrupção remota da própria execução. |
| Prioridade | Revisar tráfego para Discord, Microsoft Graph API, OneDrive, repositórios GitHub suspeitos e túneis/proxys não autorizados em servidores expostos e redes governamentais ou corporativas sensíveis. |
| Artefatos | EchoCreep, GraphWorm, WormFrp, ChainWorm, SmuxProxy, WormSocket, SoftEther VPN, Trochilus RAT, Gh0st RAT, 9002 RAT, Mikroceen, iox, dirsearch, nuclei e o repositório github[.]com/anjsdgasdf/WordPress. |
| Alvos | Agências governamentais e empresas de serviços de TI, aeroespacial e energia elétrica, com atividade associada a Rússia, Geórgia, Mongólia, países asiáticos, Bélgica, Itália, Sérvia, Polônia e uma universidade na África do Sul. |
A atividade mais recente atribuída ao Webworm indica uma evolução operacional em 2025: o grupo passou a empregar implantes próprios que usam serviços amplamente permitidos em ambientes corporativos como canal de comando e controle. O EchoCreep utiliza Discord para comunicação com operadores, enquanto o GraphWorm usa a Microsoft Graph API, com integração a recursos do ecossistema Microsoft, incluindo transferência de arquivos por Microsoft OneDrive. Essa escolha reduz a dependência de infraestrutura maliciosa evidente e dificulta bloqueios baseados apenas em reputação de domínio, pois o tráfego pode se misturar a aplicações legítimas usadas por usuários finais, desenvolvedores e áreas administrativas.
O Webworm é acompanhado publicamente desde 2022 e tem histórico de atuação contra órgãos públicos e organizações de setores estratégicos. A atividade associada ao grupo inclui sobreposição com agrupamentos vinculados à China, como FishMonger, Aquatic Panda, SixLittleMonkeys e Space Pirates. A cadeia de ferramentas anterior incluía RATs conhecidos, como Trochilus RAT, Gh0st RAT e 9002 RAT, mas os dados mais recentes mostram abandono ou redução do uso desses implantes em favor de proxys, túneis e backdoors menores. Essa mudança é relevante para defesa porque o comportamento de pós-exploração deixa de depender apenas de binários de acesso remoto facilmente classificados e passa a envolver encadeamento de conexões, ferramentas legítimas e canais externos comuns.
A campanha também mostra uso de um repositório GitHub que se apresenta como um ramo de WordPress, identificado como github[.]com/anjsdgasdf/WordPress, para armazenar malware e ferramentas. A presença de SoftEther VPN no conjunto de artefatos reforça um padrão recorrente em operações alinhadas à China: criar túneis com software legítimo, mascarar presença em hosts comprometidos e manter acesso mesmo quando a infraestrutura de C2 principal sofre bloqueio. Para operadores de segurança, o ponto central é tratar esse caso como intrusão persistente com infraestrutura híbrida, não como execução isolada de malware.
O caminho de acesso inicial ainda não foi confirmado, mas há indicação de uso de dirsearch e nuclei para varredura de servidores web. dirsearch permite enumerar caminhos, arquivos e diretórios expostos por aplicações web; nuclei executa modelos de verificação contra serviços e pode identificar configurações vulneráveis, painéis esquecidos, endpoints administrativos, versões expostas e falhas conhecidas. Em uma operação real, esse tipo de atividade costuma preceder exploração de aplicações, roubo de credenciais, upload de web shell ou implantação de um primeiro loader. A ausência de um vetor confirmado impede atribuir a campanha a uma falha específica, mas a telemetria descrita aponta para reconhecimento ativo em superfícies HTTP e HTTPS.
Após o comprometimento, o adversário parece priorizar ferramentas que sustentam presença e roteamento de tráfego. O uso de SoftEther VPN, iox e proxys próprios como WormFrp, ChainWorm, SmuxProxy e WormSocket sugere uma arquitetura de movimentação em camadas. Esses componentes podem permitir encaminhamento entre hosts internos e externos, criptografia de comunicação e pivoteamento por máquinas que já têm permissão de saída para a internet. Em vez de manter um único canal de RAT, o operador pode transformar um host comprometido em ponto de passagem, acessar segmentos internos e reduzir a exposição direta do servidor de comando.
EchoCreep funciona como backdoor com capacidade de upload, download e execução de comandos por meio de cmd.exe. O uso de Discord como C2 transforma mensagens, canais ou interações da plataforma em mecanismo de instrução remota. A análise do canal usado pelo implante mostrou comandos desde 21 de março de 2024 e um total de 433 mensagens enviadas pelo servidor de C2. Esse volume indica uso operacional continuado, não apenas teste pontual. Em ambientes corporativos, a dificuldade defensiva está em diferenciar uso legítimo de Discord por usuários de desenvolvimento, comunidades técnicas ou equipes externas de padrões automatizados gerados por malware.
GraphWorm apresenta capacidades mais amplas. O implante pode iniciar uma nova sessão de cmd.exe, executar processos recém-criados, fazer upload e download de arquivos usando Microsoft OneDrive e encerrar sua própria execução após sinal remoto. A dependência da Microsoft Graph API é especialmente sensível porque muitas organizações autorizam tráfego para serviços Microsoft por padrão. Em uma investigação, isso exige correlacionar identidade, aplicação, host, horário, volume e tipo de operação, pois o domínio de destino pode ser legítimo mesmo quando a ação executada pelo endpoint é maliciosa.
A superfície de maior risco envolve organizações com servidores web expostos, contas Microsoft usadas em estáções ou servidores, permissão ampla para tráfego de saída e baixa visibilidade sobre ferramentas de tunelamento. O histórico de alvos inclui órgãos governamentais, empresas de TI, aeroespacial e energia elétrica, além de entidades na Rússia, Geórgia, Mongólia, outros países asiáticos e, mais recentemente, organizações europeias na Bélgica, Itália, Sérvia e Polônia. Também há menção a uma universidade local na África do Sul. O padrão indica foco em redes com valor estratégico, dados institucionais, acesso a terceiros ou posição útil para operações de inteligência.
A presença de repositório GitHub com nome que tenta parecer um ramo de WordPress amplia a superfície para ambientes em que desenvolvedores, administradores ou ferramentas automatizadas baixam artefatos externos sem validação forte. Esse tipo de encenação pode escapar de revisões superficiais porque combina uma plataforma legítima com um nome associado a um projeto amplamente conhecido. O risco aumenta quando servidores têm permissões de execução em diretórios temporários, quando ferramentas de administração remota são aceitas sem inventário, ou quando conexões de saída para Discord, GitHub, OneDrive e endpoints da Microsoft Graph API não são associadas a processos locais específicos.
Os proxys personalizados também mudam a forma de exposição interna. Mesmo que apenas um servidor de borda seja comprometido, o encadeamento entre hosts pode permitir acesso indireto a bancos de dados, painéis internos, compartilhamentos de arquivos e sistemas de identidade. Como esses proxys podem criptografar comunicação e operar com tráfego de aparência genérica, controles baseados somente em assinatura de payload tendem a perder contexto. A defesa precisa observar processo de origem, usuário que iniciou o binário, persistência, conexões incomuns entre segmentos e execução de ferramentas não previstas em servidores de produção.
- Servidores web com enumeração de diretórios, arquivos sensíveis expostos, painéis administrativos acessíveis ou versões vulneráveis detectáveis por
nuclei. - Endpoints e servidores com acesso permitido a
Discord,Microsoft Graph API,Microsoft OneDrive,GitHube serviços de VPN ou proxy não inventariados. - Ambientes governamentais, energia, aeroespacial, TI, universidades e organizações com relações operacionais com regiões já observadas na atividade.
- Contas Microsoft com permissões para leitura e gravação no
OneDrive, especialmente quando usadas em hosts que não deveriam realizar automação de arquivos. - Hosts que executam
SoftEther VPN,ioxou binários com nomes relacionados aWormFrp,ChainWorm,SmuxProxyeWormSocketsem justificativa operacional.
A caça deve começar por correlação entre processo, rede e identidade. Em endpoints Windows, a criação de cmd.exe por processos desconhecidos, binários recém-gravados em diretórios temporários, execução de ferramentas de proxy e conexões para serviços externos logo após autenticações incomuns são sinais relevantes. Para EchoCreep, a telemetria de rede deve destacar tráfego automatizado para Discord originado de servidores, contas de serviço ou estáções sem perfil de uso da plataforma. A presença de mensagens frequentes ou padrões de polling pode indicar canal de C2, principalmente quando associada a criação de processos e movimentação de arquivos.
Para GraphWorm, a visibilidade depende de logs Microsoft e do endpoint. Eventos da Microsoft Graph API relacionados a OneDrive, criação ou leitura de arquivos em horários atípicos, volume de upload incompatível com o usuário e tokens usados a partir de hosts incomuns devem ser revisados. Quando possível, os eventos de auditoria do Microsoft 365 devem ser cruzados com EDR para identificar qual processo iniciou as chamadas. Uma conexão legítima para graph.microsoft.com não é suficiente para descartar abuso; o indicador defensivo está na combinação entre host, identidade, ação, arquivo manipulado e sequência temporal com execução de comandos.
No perímetro web, logs HTTP devem ser revisados para padrões de enumeração: grande quantidade de respostas 404, variações rápidas de caminhos, requisições para arquivos de configuração, diretórios administrativos, backups, extensões sensíveis e endpoints comuns de frameworks. Requisições compatíveis com execução de modelos do nuclei podem aparecer como sondagens repetidas de rotas específicas. A partir desses sinais, a investigação deve buscar alterações recentes em diretórios web, novos binários, tarefas agendadas, serviços instalados, regras de firewall locais e conexões persistentes abertas por processos que não fazem parte da aplicação.
Também é necessário procurar artefatos de staging. Acesso ao repositório github[.]com/anjsdgasdf/WordPress, clones incomuns, downloads diretos de arquivos executáveis ou scripts a partir de GitHub e presença de SoftEther VPN em sistemas que não usam esse software por padrão são pontos de atenção. Para proxys, a telemetria pode aparecer como processos escutando em portas não documentadas, conexões de saída para VPS externos, tráfego entre servidores internos sem relação de aplicação e túneis que permanecem ativos fora da janela administrativa.
- Execução de
cmd.exeiniciada por binários desconhecidos, recém-criados ou localizados fora de caminhos administrativos esperados. - Tráfego para
Discordoriginado de servidores, contas técnicas, hosts sem uso interativo ou sistemas onde a plataforma não é aprovada. - Chamadas à
Microsoft Graph APIcom operações de arquivo noOneDrivevinculadas a identidades, horários ou dispositivos incomuns. - Downloads, clones ou acessos ao repositório
github[.]com/anjsdgasdf/WordPresse a artefatos que simulem projetos legítimos. - Processos, serviços ou conexões associados a
SoftEther VPN,iox,WormFrp,ChainWorm,SmuxProxyeWormSocketfora do inventário. - Sequências de enumeração web com alto volume de caminhos inexistentes, busca por backups, arquivos de configuração e rotas administrativas.
A resposta deve priorizar contenção de hosts com sinais de proxy, VPN não autorizada ou execução de backdoor. Como os implantes descritos permitem transferência de arquivos e execução remota, isolar a máquina antes de remover artefatos preserva evidência e impede que o operador use o host como ponte para outros segmentos. Em servidores web, a equipe deve coletar logs, listar alterações recentes no sistema de arquivos, revisar processos em execução, serviços instalados, tarefas agendadas, regras de firewall e conexões estabelecidas. Em paralelo, credenciais usadas no host devem ser consideradas expostas até que a investigação confirme o contrário.
No ambiente Microsoft, a mitigação exige revisar permissões de aplicações, tokens, sessões e atividade no OneDrive. Bloqueios genéricos de Microsoft Graph API podem quebrar serviços legítimos, portanto a ação mais eficaz é aplicar controles condicionais, reduzir permissões excessivas, registrar consentimentos de aplicação, limitar automações autorizadas e criar alertas para padrões incompatíveis com a função do usuário. Para Discord, a organização deve decidir se o serviço é necessário; se não houver necessidade corporativa, o bloqueio no perímetro e em proxies web reduz a superfície de C2. Quando o uso for permitido, os logs precisam ser correlacionados com EDR para detectar automação por processos não interativos.
A correção da superfície web deve ser conduzida como uma frente separada. Servidores expostos precisam de inventário de aplicações, atualização de componentes, remoção de arquivos de backup acessíveis, restrição de painéis administrativos, autenticação multifator para consoles e validação de permissões de escrita. Resultados de dirsearch e nuclei vistos nos logs devem orientar endurecimento: cada rota sondada com resposta útil deve ser tratada como possível ponto de exposição. Também é importante validar se pipelines de implantação, repositórios internos e caches baixaram ou referenciaram artefatos externos não aprovados.
Para reduzir recorrência, a organização deve manter inventário de ferramentas de administração remota e bloquear execução de VPNs, proxys e túneis fora de lista permitida. Regras de detecção devem combinar nome de ferramenta, comportamento de rede e criação de processos, pois operadores podem renomear binários. A recuperação só deve ser encerrada após confirmar ausência de conexões persistentes, remover contas ou chaves indevidas, rotacionar segredos acessíveis pelo host, revisar movimentação lateral e validar que não há novos caminhos de saída para os mesmos serviços usados pela campanha.
- Isolar hosts com execução suspeita de
cmd.exe, proxy, VPN não inventariada ou tráfego anômalo paraDiscord,GitHub,OneDriveeMicrosoft Graph API. - Coletar memória, processos, conexões, tarefas agendadas, serviços, logs web, histórico PowerShell e artefatos de sistema antes de qualquer limpeza destrutiva.
- Revisar auditoria do Microsoft 365 para operações de
OneDrive, consentimentos de aplicação, uso de tokens, dispositivos incomuns e transferências incompatíveis com o perfil da conta. - Bloquear ou restringir
Discordem ambientes onde a plataforma não tem finalidade de negócio; quando permitido, monitorar origem, processo local e frequência de comunicação. - Remover exposição web desnecessária, corrigir aplicações vulneráveis, restringir diretórios administrativos e eliminar arquivos de backup ou configuração acessíveis por HTTP.
- Criar lista permitida para ferramentas de túnel e administração remota, com alerta para
SoftEther VPN,iox,WormFrp,ChainWorm,SmuxProxyeWormSocketfora de exceções aprovadas. - Rotacionar credenciais, chaves e tokens acessíveis a partir de hosts comprometidos, incluindo contas de serviço, segredos de aplicações web e credenciais sincronizadas em perfis de usuário.
0 Comentários