Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Webworm colpisce con Discord e Microsoft Graph: backdoor invisibili tra i servizi legittimi
Nel panorama delle minacce informatiche del 2025 e 2026, un gruppo di attacco associato alla Cina noto come Webworm si distingue per una evoluzione tecnica mirata alla massima discrezione. Le campagne osservate mostrano un passaggio dai classici backdoor completi verso strumenti più difficili da identificare, come proxy personalizzati e canali di comando e controllo che sfruttano servizi legittimi e diffusi.
Questo approccio rende più complesso separare il traffico malevolo da quello normale, soprattutto in reti aziendali e governative dove tali servizi sono già autorizzati.
Backdoor dedicate: EchoCreep e GraphWorm
Tra le novità più rilevanti emergono due backdoor dedicate. EchoCreep utilizza Discord come infrastruttura di comando e controllo, consentendo agli operatori di impartire comandi e gestire operazioni tipiche di una compromissione, tra cui esecuzione di comandi tramite cmd.exe e trasferimento di file in upload e download. L’uso di Discord permette di mascherare le comunicazioni dentro flussi comuni, riducendo la probabilità di blocchi immediati basati su reputazione.
GraphWorm adotta invece Microsoft Graph API come canale C2, una scelta particolarmente insidiosa per ambienti Microsoft 365. Questa backdoor risulta più avanzata perché può avviare nuove sessioni cmd.exe, creare ed eseguire processi, trasferire file tramite OneDrive e persino interrompere la propria esecuzione quando riceve un segnale dagli attaccanti, funzione utile per ridurre la superficie di rilevamento durante fasi di pulizia o evasione.
Tecniche di supporto: GitHub, VPN e proxy custom
Le analisi indicano anche l’uso di repository GitHub camuffati da progetti legittimi, impiegati come area di staging per tool e componenti, insieme a soluzioni come SoftEther VPN per coprire le tracce. In parallelo, Webworm fa affidamento su proxy custom capaci di cifrare le comunicazioni e concatenare passaggi su più host interni ed esterni, aumentando la resilienza operativa e la difficoltà di attribuire il vero punto di controllo.
Target e fase di accesso iniziale
Il raggio di azione include settori strategici e organizzazioni governative in più paesi, con un interesse crescente verso l’Europa. Per l’accesso iniziale vengono citati anche strumenti open source usati per individuare directory e vulnerabilità su server web, segnale di una fase di ricognizione strutturata prima della distribuzione dei payload.