Webworm APT
Investigadores de ciberseguridad han detectado nuevas operaciones vinculadas al grupo de amenazas Webworm, alineado con China, destacando el despliegue de sofisticadas puertas traseras personalizadas que abusan de Discord y la API Microsoft Graph para comunicaciones de comando y control (C2). Esta actividad reciente refleja una evolución más amplia en la estrategia operativa del grupo, que hace hincapié en el sigilo, la infraestructura basada en proxies y el uso indebido de plataformas legítimas para evadir la detección.
Tabla de contenido
Una amenaza persistente que ataca a sectores críticos
Documentado públicamente por primera vez en septiembre de 2022, se cree que Webworm ha estado activo al menos desde ese año. El grupo ha atacado sistemáticamente a instituciones gubernamentales y empresas que operan en sectores como los servicios de TI, la industria aeroespacial y la energía eléctrica. Se han identificado víctimas en Rusia, Georgia, Mongolia y varios países asiáticos.
Históricamente, este grupo de ciberdelincuentes ha utilizado troyanos de acceso remoto, como Trochilus RAT, Gh0st RAT y 9002 RAT, también conocido como Hydraq o McRat. Los analistas de seguridad también han vinculado la actividad del grupo con varios clústeres asociados a China, como FishMonger, SixLittleMonkeys y Space Pirates. Entre estos, SixLittleMonkeys llamó la atención por utilizar Gh0st RAT y la familia de malware Mikroceen contra entidades en Asia Central, Bielorrusia, Rusia y Mongolia.
Transición hacia operaciones más sigilosas
En los últimos dos años, Webworm se ha alejado gradualmente de los marcos de malware tradicionales en favor de utilidades proxy sigilosas y herramientas de red semilegítimas. Esta transición parece estar diseñada para reducir los riesgos de detección, manteniendo al mismo tiempo el acceso persistente dentro de entornos comprometidos.
En 2025, el grupo introdujo dos nuevas puertas traseras identificadas en su arsenal:
EchoCreep, que utiliza Discord para operaciones de comando y control y admite transferencias de archivos junto con la ejecución remota de comandos a través de cmd.exe.
GraphWorm es un implante más avanzado que se comunica a través de la API de Microsoft Graph y permite a los operadores crear nuevas sesiones de cmd.exe, iniciar procesos, cargar y descargar archivos a través de Microsoft OneDrive y finalizar su propia ejecución al recibir instrucciones del operador.
Los investigadores también observaron el uso de un repositorio de GitHub que se hacía pasar por una bifurcación de WordPress para alojar malware y utilidades como SoftEther VPN. Esta táctica permite que la infraestructura maliciosa se mimetice con la actividad de desarrollo legítima, lo que dificulta su detección. El uso de SoftEther VPN coincide con métodos empleados previamente por varios grupos chinos de ciberespionaje.
Ampliación del alcance geográfico y la infraestructura de proxy
Las recientes campañas de Webworm demuestran un enfoque cada vez mayor en objetivos europeos, incluidas organizaciones gubernamentales en Bélgica, Italia, Serbia, Polonia y España, así como una universidad ubicada en Sudáfrica.
Al mismo tiempo, el grupo de ciberdelincuentes parece estar dejando de usar familias de malware más antiguas, como Trochilus y 9002 RAT, en favor de marcos de proxy personalizados y herramientas de tunelización. Otras utilidades asociadas al grupo incluyen iox, WormFrp, ChainWorm, SmuxProxy y WormSocket. Los investigadores descubrieron que WormFrp obtiene datos de configuración de un bucket de Amazon S3 comprometido.
Estas herramientas de proxy están diseñadas para cifrar las comunicaciones y admitir conexiones encadenadas entre sistemas internos y externos, lo que permite a los atacantes enrutar el tráfico a través de múltiples hosts mientras ocultan la actividad operativa. Los analistas creen que estas herramientas se combinan frecuentemente con SoftEther VPN para ocultar aún más los movimientos del atacante y mejorar su persistencia.
La actividad de comandos basada en Discord revela la escala operativa.
El análisis de la infraestructura de Discord utilizada por EchoCreep reveló que el tráfico de comandos se remonta al menos al 21 de marzo de 2024. Los investigadores identificaron 433 mensajes transmitidos a través del entorno C2 malicioso basado en Discord, que afectaron a más de 50 objetivos únicos.
Aunque se desconoce el método exacto de acceso inicial, los investigadores descubrieron que los operadores de Webworm utilizan activamente herramientas de reconocimiento y explotación de código abierto como dirsearch y nuclei. Estas utilidades se emplean para realizar ataques de fuerza bruta contra directorios de servidores web, identificar archivos expuestos y buscar vulnerabilidades explotables.
Escasa evidencia que vincula a un gusano informático con piratas espaciales.
A pesar de ciertas similitudes operativas, los investigadores advierten que la conexión entre Webworm y el grupo Space Pirates sigue siendo inconclusa. La superposición actual parece limitarse principalmente al uso de RAT disponibles públicamente y patrones de herramientas compartidos, sin pruebas suficientes para establecer una relación definitiva entre ambos grupos de amenazas.
