Investigadores detectaron que el grupo Webworm, vinculado a China, ha desplegado en 2025 nuevas puertas traseras llamadas EchoCreep y GraphWorm que utilizan Discord y Microsoft Graph API para comunicaciones. El grupo ha expandido sus objetivos hacia entidades gubernamentales en Europa y Asia, sustituyendo troyanos tradicionales por herramientas proxy más sigilosas. Para evadir detecciones, emplean repositorios de GitHub falsos y servicios de VPN para ocultar sus rastros.

Investigadores de ciberseguridad han detectado una nueva actividad de un actor de amenazas alineado con China conocido como Webworm en 2025, desplegando puertas traseras personalizadas que utilizan Discord y la API de Microsoft Graph para las comunicaciones de comando y control (C2 o C&C).

Webworm, documentado públicamente por primera vez por Symantec (propiedad de Broadcom) en septiembre de 2022, se considera activo al menos desde 2022, teniendo como objetivo agencias gubernamentales y empresas de los sectores de servicios de TI, aeroespacial y energía eléctrica en Rusia, Georgia, Mongolia y otras naciones asiáticas.

Los ataques lanzados por el grupo han aprovechado troyanos de acceso remoto (RAT) como Trochilus RAT, Gh0st RAT y 9002 RAT (también conocidos como Hydraq y McRat). Se afirma que el actor de amenazas coincide con clústeres vinculados a China rastreados como FishMonger, SixLittleMonkeys y Space Pirates. SixLittleMonkeys es mejor conocido por desplegar Gh0st RAT y un RAT llamado Mikroceen dirigido a entidades en Asia Central, Rusia, Bielorrusia y Mongolia.

"En los últimos años, ha empezado a desplazarse hacia herramientas de proxy tanto existentes como personalizadas, que son más sigilosas que las puertas traseras completas", afirmó el investigador de ESET Eric Howard en sus declaraciones. "En 2025, Webworm también añadió dos nuevas puertas traseras a su conjunto de herramientas: EchoCreep, que utiliza Discord para la comunicación C&C, y GraphWorm, que utiliza la API de Microsoft Graph para el mismo propósito".

Base de estos esfuerzos es el uso de un repositorio de GitHub que suplanta a un fork de WordPress ("github[.]com/anjsdgasdf/WordPress") como zona de preparación para malware y herramientas como SoftEther VPN en un esfuerzo por mimetizarse y pasar desapercibido. La dependencia de SoftEther VPN es un enfoque probado adoptado por varios grupos de hacking chinos.

Durante los dos últimos años, se ha observado que el adversario ha dejado de lado las puertas traseras tradicionales para utilizar utilidades (semi)legítimas como los proxies SOCKS, mientras que también se ha centrado cada vez más en países europeos, incluidas organizaciones gubernamentales en Bélgica, Italia, Serbia y Polonia, y una universidad local en Sudáfrica.

El descubrimiento de EchoCreep y GraphWorm marca una expansión del arsenal de Webworm, incluso cuando Trochilus y 9002 RAT parecen haber sido abandonados. Otras herramientas destacables son iox y soluciones de proxy personalizadas como WormFrp, ChainWorm, SmuxProxy y WormSocket. Se ha descubierto que WormFrp recupera configuraciones de un cubo de Amazon S3 comprometido.

"Estas herramientas de proxy personalizadas no solo son capaces de cifrar las comunicaciones, sino que también admiten el encadenamiento a través de múltiples hosts, tanto interna como externamente a una red", señaló ESET. "Creemos que los operadores utilizan estas herramientas en conjunto con SoftEther VPN para cubrir mejor sus huellas y aumentar el sigilo de sus actividades".

EchoCreep admite la carga/descarga de archivos y la ejecución de comandos a través de capacidades de "cmd.exe", mientras que Graphworm es una puerta trasera más avanzada que puede iniciar una nueva sesión de "cmd.exe", ejecutar un proceso recién creado, cargar y descargar archivos desde y hacia Microsoft OneDrive, y detener su propia ejecución tras recibir una señal de los operadores.

Un análisis del canal de Discord utilizado por EchoCreep como C2 muestra que los primeros comandos fueron enviados ya el 21 de marzo de 2024. En total, se han enviado 433 mensajes de Discord a través del servidor C2.

Exactamente cómo se entregan estas puertas traseras y la vía de acceso inicial utilizada por Webworm es actualmente desconocida. Sin embargo, ha surgido que el atacante utiliza utilidades de código abierto como dirsearch y nuclei para forzar archivos y directorios de servidores web de las víctimas y buscar vulnerabilidades en ellos.

La revelación sobre BadIIS

La revelación llega mientras Cisco Talos arrojaba luz sobre una variante de BadIIS que probablemente se vende o comparte entre múltiples grupos de cibercrimen de habla china bajo un modelo de malware como servicio (MaaS) diseñado para la monetización continua. Se cree que la oferta ha estado en desarrollo desde al menos el 30 de septiembre de 2021.

El mismo autor del malware, que opera bajo el alias "lwxat", también ha puesto a disposición un conjunto de herramientas complementarias, incluyendo instaladores basados en servicios, droppers y mecanismos de persistencia que automatizan el despliegue, aseguran la supervivencia a través de los reinicios del servidor IIS y evitan la detección.

El servicio ofrece una herramienta de construcción dedicada que "permite a los actores de amenazas generar archivos de configuración, personalizar cargas útiles e inyectar parámetros en los binarios de BadIIS, habilitando capacidades que incluyen la redirección de tráfico a sitios ilícitos, el proxy inverso para la manipulación de rastreadores de motores de búsqueda, el secuestro de contenido y la inyección de enlaces para el fraude de optimización de motores de búsqueda (SEO) malicioso", afirmó el investigador de Talos Joey Chen.

Fuente:
THN