APT Webworm
Des chercheurs en cybersécurité ont identifié de nouvelles opérations liées au groupe de cybercriminels Webworm, proche de la Chine. Ils ont notamment mis en évidence le déploiement de portes dérobées sophistiquées et personnalisées qui exploitent Discord et l'API Microsoft Graph pour les communications de commande et de contrôle (C2). Cette activité récente témoigne d'une évolution plus large de la stratégie opérationnelle du groupe, privilégiant la furtivité, une infrastructure basée sur des proxys et le détournement de plateformes légitimes pour échapper à la détection.
Table des matières
Une menace persistante ciblant les secteurs critiques
Documenté publiquement pour la première fois en septembre 2022, le groupe Webworm serait actif depuis au moins cette année-là. Il cible systématiquement les institutions gouvernementales et les entreprises opérant dans des secteurs tels que les services informatiques, l'aérospatiale et l'énergie électrique. Des victimes ont été identifiées en Russie, en Géorgie, en Mongolie et dans plusieurs pays d'Asie.
Ce groupe de cybercriminels a historiquement utilisé des chevaux de Troie d'accès à distance, notamment Trochilus RAT, Gh0st RAT et 9002 RAT (également connu sous les noms d'Hydraq ou McRat). Les analystes de sécurité ont également établi un lien entre ses activités et plusieurs clusters liés à la Chine, tels que FishMonger, SixLittleMonkeys et Space Pirates. SixLittleMonkeys s'est notamment fait remarquer pour avoir utilisé Gh0st RAT et la famille de logiciels malveillants Mikroceen contre des entités en Asie centrale, au Bélarus, en Russie et en Mongolie.
Transition vers des opérations plus furtives
Au cours des deux dernières années, Webworm a progressivement abandonné les frameworks de logiciels malveillants traditionnels au profit d'utilitaires proxy furtifs et d'outils réseau semi-légitimes. Cette transition semble conçue pour réduire les risques de détection tout en maintenant un accès persistant au sein d'environnements compromis.
En 2025, le groupe a introduit deux nouvelles portes dérobées identifiées dans son arsenal :
EchoCreep, qui utilise Discord pour les opérations de commande et de contrôle et prend en charge les transferts de fichiers ainsi que l'exécution de commandes à distance via cmd.exe.
GraphWorm est un implant plus avancé qui communique via l'API Microsoft Graph et permet aux opérateurs de créer de nouvelles sessions cmd.exe, de lancer des processus, de télécharger et de charger des fichiers via Microsoft OneDrive, et de mettre fin à sa propre exécution sur réception des instructions de l'opérateur.
Les chercheurs ont également observé l'utilisation d'un dépôt GitHub se faisant passer pour une version dérivée de WordPress afin d'héberger des logiciels malveillants et des utilitaires tels que SoftEther VPN. Cette tactique permet à une infrastructure malveillante de se fondre dans une activité de développement légitime, compliquant ainsi les efforts de détection. L'utilisation de SoftEther VPN correspond aux méthodes précédemment employées par plusieurs groupes de cyberespionnage chinois.
Extension de la portée géographique et de l’infrastructure de proxy
Les récentes campagnes de Webworm témoignent d'une attention croissante portée aux cibles européennes, notamment aux organisations gouvernementales en Belgique, en Italie, en Serbie, en Pologne et en Espagne, ainsi qu'à une université située en Afrique du Sud.
Dans le même temps, le groupe de cybercriminels semble abandonner progressivement les anciennes familles de logiciels malveillants telles que Trochilus et 9002 RAT au profit de frameworks proxy personnalisés et d'outils de tunneling. Parmi les autres utilitaires associés à ce groupe figurent iox, WormFrp, ChainWorm, SmuxProxy et WormSocket. Les enquêteurs ont découvert que WormFrp récupère des données de configuration depuis un compartiment Amazon S3 compromis.
Ces outils proxy sont conçus pour chiffrer les communications et prendre en charge les connexions en chaîne entre systèmes internes et externes, permettant ainsi aux attaquants de faire transiter le trafic par plusieurs hôtes tout en dissimulant leur activité. Les analystes estiment que ces outils sont fréquemment associés à SoftEther VPN afin de masquer davantage les mouvements des attaquants et d'améliorer leur persistance.
L’activité de commandement via Discord révèle l’ampleur des opérations.
L'analyse de l'infrastructure Discord utilisée par EchoCreep a révélé que le trafic de commandes remonte au moins au 21 mars 2024. Les chercheurs ont identifié 433 messages transmis via l'environnement C2 malveillant basé sur Discord, affectant plus de 50 cibles uniques.
Bien que la méthode d'accès initiale précise demeure inconnue, les enquêteurs ont découvert que les opérateurs de Webworm utilisent activement des outils de reconnaissance et d'exploitation open source tels que dirsearch et nuclei. Ces utilitaires servent à explorer par force brute les répertoires des serveurs web, à identifier les fichiers exposés et à rechercher les vulnérabilités exploitables.
Preuves ténues liant Webworm aux pirates de l’espace
Malgré certaines similitudes opérationnelles, les chercheurs soulignent que le lien entre Webworm et le groupe Space Pirates demeure incertain. Le chevauchement actuel semble se limiter principalement à l'utilisation de RAT (Remote Access Trojans) disponibles publiquement et à des outils similaires, sans preuves suffisantes pour établir un lien définitif entre les deux groupes de cybercriminels.
