Wenn der Feind im eigenen Netzwerk chatroomisiert
Die Bedrohungslage durch staatlich unterstützte Akteure wird zunehmend komplexer, und die jüngsten Entwicklungen rund um die China-affine Hackergruppe Webworm sind ein Paradebeispiel dafür. Wie ESET-Forscher berichten, hat die Gruppe 2025 ihr Arsenal um zwei neue, hochgradig getarnte Backdoors erweitert: EchoCreep und GraphWorm. Das Besondere? Sie nutzen für ihre Command-and-Control (C2)-Kommunikation ausgerechnet Dienste, die in fast jedem Unternehmensnetzwerk als vertrauenswürdig gelten – Discord und die Microsoft Graph API.
Die Evolution von Webworm: Vom RAT zur Proxy-Strategie
Webworm, erstmals 2022 von Symantec dokumentiert, ist kein unbeschriebenes Blatt. Die Gruppe zielt seit mindestens 2022 auf Regierungsbehörden und Unternehmen in den Sektoren IT, Luft- und Raumfahrt sowie Elektrizität ab – primär in Russland, Georgien, der Mongolei und anderen asiatischen Ländern. Historisch setzte die Gruppe auf bekannte Remote Access Trojans (RATs) wie Trochilus RAT, Gh0st RAT oder 9002 RAT.
Doch die Taktik hat sich gewandelt. "In den letzten Jahren hat [Webworm] begonnen, sich sowohl auf bestehende als auch auf maßgeschneiderte Proxy-Tools zu verlagern, die stealthy sind als vollwertige Backdoors", erklärt ESET-Forscher Eric Howard. Die Abkehr von schwerfälligen RATs hin zu (semi-)legitimen Utilities wie SOCKS-Proxys ist ein kluger Schachzug: Es minimiert die Wahrscheinlichkeit, dass die Malware von Antiviren-Scannern aufgeschrieben wird.
Zu den neuen Werkzeugen im Portfolio gehören iox sowie maßgeschneiderte Proxy-Lösungen wie WormFrp, ChainWorm, SmuxProxy und WormSocket. Besonders WormFrp fällt auf, da es Konfigurationen aus einem kompromittierten Amazon S3-Bucket abruft. Diese Proxy-Tools können Kommunikation verschlüsseln und Verbindungen über mehrere Hosts innerhalb und außerhalb eines Netzwerks ketten – eine Technik, die in Kombination mit SoftEther VPN die Spuren verwischt.
EchoCreep und GraphWorm: C2 unter dem Radar
Die beiden neuen Backdoors sind Meister der Tarnung:
- EchoCreep nutzt Discord für C2-Kommunikation. Es unterstützt Datei-Upload/Download und die Ausführung von Befehlen über
cmd.exe. Die Analyse des genutzten Discord-Kanals zeigt, dass die ersten Befehle bereits am 21. März 2024 gesendet wurden – insgesamt 433 Nachrichten. Discord ist in vielen Netzwerken nicht blockiert, was es zu einem idealen C2-Kanal macht. - GraphWorm geht noch einen Schritt weiter und nutzt die Microsoft Graph API. Das ist besonders tückisch: Graph API ist der Dreh- und Angelpunkt für Microsoft 365-Dienste. Kommunikation über diesen Kanal verschwindet im Rauschen des legitimen Cloud-Traffics. GraphWorm kann neue
cmd.exe-Sessions starten, Prozesse ausführen, Dateien über OneDrive hoch- und herunterladen und sich auf Signal der Operateure selbst beenden.
Die Nutzung legitimer Cloud-Dienste für C2-Zwecke ist ein Trend, der sich in der Cybercrime-Szene zunehmend etabliert. Verteidiger stehen vor der Herausforderung, bösartigen Traffic von legitimer Cloud-Nutzung unterscheiden zu müssen – ein Unterfangen, das oft einer Nadel im Heuhaufen gleicht.
Tarnung durch GitHub und offene Werkzeuge
Als Staging-Ground nutzt Webworm ein GitHub-Repository, das sich als WordPress-Fork ausgibt (github[.]com/anjsdgasdf/WordPress). Darüber werden Malware und Tools wie SoftEther VPN gehostet – ein VPN-Tool, das von mehreren chinesischen Hackergruppen genutzt wird, um in Netzwerken zu persistieren und sich zu tarnen.
Wie genau die Backdoors auf die Zielsysteme gelangen, ist noch unklar. Es ist jedoch bekannt, dass der Angreifer Open-Source-Utilities wie dirsearch und nuclei nutzt, um Webserver-Dateien und -Verzeichnisse zu brute-forcen und nach Schwachstellen zu suchen. Dies deutet auf einen methodischen Ansatz bei der initialen Kompromittierung hin.
Ein Blick über den Tellerrand: BadIIS und MaaS
Die Entwicklungen bei Webworm stehen nicht isoliert. Cisco Talos hat zeitgleich Details zu einer Variante von BadIIS veröffentlicht, die wahrscheinlich unter einem Malware-as-a-Service (MaaS)-Modell unter mehreren chinesischsprachigen Cybercrime-Gruppen geteilt oder verkauft wird. Der Autor, der unter dem Alias "lwxat" operiert, bietet ergänzende Tools wie Service-basierte Installer, Dropper und Persistenz-Mechanismen an, die die Bereitstellung automatisieren und die Überlebensfähigkeit über IIS-Server-Neustarts hinweg sicherstellen.
Der dedizierte Builder ermöglicht es Akteuren, Konfigurationsdateien zu generieren, Payloads anzupassen und Parameter in BadIIS-Binärdateien zu injizieren. Die Fähigkeiten umfassen Traffic-Redirection, Reverse-Proxying für Suchmaschinen-Crawler-Manipulation, Content-Hijacking und Backlink-Injection für bösartiges SEO-Fraud.
Fazit: Die Grenzen zwischen legitim und bösartig verschwimmen
Die Strategie von Webworm – und ähnlich agierender Gruppen – verdeutlicht einen fundamentaleren Wandel in der Cyberbedrohungslandschaft. Die Zeiten, in denen sich Malware durch auffällige C2-Server in dubiosen Ländern verriet, sind vorbei. Moderne Angreifer nutzen die Infrastruktur, die wir ihnen zur Verfügung stellen: Cloud-Dienste, Social-Media-Plattformen und Open-Source-Tools.
Für Verteidiger bedeutet das eine Paradigmenverschiebung. Es reicht nicht mehr, nur nach bekannten bösartigen Indikatoren zu suchen. Stattdessen müssen Netzwerk- und Cloud-Aktivitäten tiefgehend analysiert werden, um Anomalien im scheinbar legitimen Traffic zu erkennen. Die Verschmelzung von Offensiv-Techniken mit legitimer Infrastruktur stellt die Sicherheitscommunity vor neue, komplexe Herausforderungen – und Webworm ist ein weiterer Beweis dafür, dass sich die Bedrohungsakteure kontinuierlich anpassen und professionalisieren.
Quelle: The Hacker News
