China-nahe APT-Gruppe Webworm nimmt europäische Behörden ins Visier EchoCreep und GraphWorm verstecken Angriffsbefehle in Cloud-Diensten

Anbieter zum Thema

Aagon GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Die China-nahe APT-Gruppe Webworm erweitert ihr Backdoor-Arsenal um EchoCreep und GraphWorm. Beide tarnen ihren Steuerverkehr in legitimen Cloud-Diensten, EchoCreep über Discord, GraphWorm über die Microsoft Graph API. Sicherheitsforscher dokumentieren zudem eine Verlagerung des Aktionsradius von asiatischen Zielen auf Regierungsbehörden in Europa.

ESET hat die Kampagnen der Gruppe aus dem Jahr 2025 untersucht und ordnet Webworm einem chinesischen Aktivitätscluster zu. Symantec dokumentierte den Akteur erstmals im September 2022. Die Gruppe richtet sich seit Jahren gegen Behörden und Unternehmen aus Energieversorgung, Luft- und Raumfahrt sowie IT-Dienstleistung in Georgien, der Mongolei, Russland und weiteren asiatischen Staaten. Frühere Operationen stützten sich auf angepasste Varianten von Gh0st RAT, 9002 RAT und Trochilus RAT. Die beiden zuletzt genannten Malware-Familien spielen in den aktuellen Operationen keine Rolle mehr.

Notepad++ lieferte monatelang Backdoors statt Updates

Notepad++-Super-GAU: Wie das Admin-Tool zur APT-Waffe wurde

Discord und OneDrive als verdeckte Steuerkanäle

EchoCreep überträgt Dateien, sendet Laufzeitberichte und nimmt Befehle über Discord ent­ge­gen. Die Befehlsausführung erfolgt über cmd.exe. GraphWorm arbeitet auf einer höheren Stufe und steuert seinen Verkehr ausschließlich über OneDrive-Endpunkte der Microsoft Graph API. Die Backdoor startet eine cmd.exe-Session, führt einen neuen Prozess aus, trans­fe­riert Dateien von und nach OneDrive und beendet sich selbst nach einem Signal der Betreiber.

Beide Programme verbergen ihren Steuerverkehr im regulären Datenstrom legitimer Cloud-Dienste und umgehen damit netzbasierte Erkennung. ESET-Forscher entschlüsselten mehr als 400 Discord-Nachrichten von einem Steuerserver. Die Empfängerzahl von über 50 Organisationen belegt eine breit angelegte Aufklärung, die früheste Nachricht datiert auf den 21.03.2024.

Verlagerung auf europäische Regierungsziele

Webworm verlagert den Schwerpunkt auf Regierungsorganisationen in Europa. Betroffen sind Behörden in Serbien, Spanien, Polen, Belgien und Italien. Zusätzlich kompromittierte die Gruppe eine Universität in Südafrika. Robert Lipovsky, Principal Threat Researcher bei ESET, beschreibt das Vorgehen als halb-opportunistisch und sieht keinen zwingenden Zusammenhang zwischen den betroffenen Organisationen.

Der genaue Einstiegspunkt bleibt offen. Im Fall der serbischen Behörde gilt eine Schwachstelle in der eingestellten Webmail-Software SquirrelMail als wahrscheinlicher Erstzugang. Für die Aufklärung setzt der Akteur quelloffene Werkzeuge ein, darunter dirsearch und nuclei, um Verzeichnisse und Dateien von Webservern aufzuspüren und Schwachstellen zu finden.

Russische Hackergruppe APT28

Verfassungsschutz warnt vor Angriffen auf TP-Link-Router

Proxy-Tools und fremdfinanzierte Infrastruktur

Neben den Backdoors pflegt die Gruppe ein Bündel eigener Proxy-Lösungen, darunter WormFrp, SmuxProxy, ChainWorm und WormSocket, ergänzt um das quelloffene iox. Die Programme verschlüsseln den Verkehr und verketten Verbindungen über mehrere Hosts innerhalb und außerhalb eines Netzes. In Kombination mit SoftEther VPN verschleiern die Betreiber ihre Spuren. Die Schadprogramme und Hilfswerkzeuge lagert Webworm in GitHub-Repositories, die einen WordPress-Fork imitieren, damit ein kompromittiertes System die Komponenten direkt nachlädt.

Die Proxy-Lösung WormFrp bezieht ihre Konfiguration aus einem kompromittierten AWS-S3-Bucket. Über den Speicher exfiltriert Webworm Daten, die anfallenden AWS-Kosten trägt dabei das kompromittierte Unternehmen. Zwischen Dezember 2025 und Januar 2026 luden die Betreiber 20 neue Dateien in den Speicher, zwei davon stammten aus einer spanischen Regierungsbehörde. ESET-Forscher Eric Howard stuft die Verbindung zwischen Webworm und der Gruppe Space Pirates als schwach ein. Beide nutzen quelloffene RATs, ein belastbarer Beleg für eine Verbindung fehlt.

KI erkannte Angriff, aber Reaktion blieb aus

DragonForce verschlüsselt Fertiger in sieben Tagen

Fazit

Webworm zeigt eine konsequente Verlagerung von vollwertigen Backdoors zu getarnten Steuerkanälen über legitime Cloud-Dienste und zu eigenen Proxy-Ketten. Discord, die Microsoft Graph API und fremde S3-Buckets verbergen Steuerverkehr und Datenabfluss im normalen Cloud-Datenverkehr. Erkennung setzt am ausgehenden Verkehr zu Discord- und Microsoft-Graph-Endpunkten an, an OneDrive-Zugriffen von Serversystemen und an der Absicherung exponierter Webdienste.

(ID:50854038)