Analisi

Webworm evolve: i backdoor EchoCreep e GraphWorm trasformano Discord e Microsoft Graph in canali C2

Dario Fadda 23 Maggio 2026

Quando un gruppo APT decide di nascondere le proprie comunicazioni malevole dentro le API di prodotti Microsoft o nei canali Discord, il confine tra traffico legittimo e operazione di spionaggio si fa quasi invisibile per i tradizionali strumenti di sicurezza di rete. È esattamente la scelta operativa che ha compiuto Webworm, gruppo di allineamento cinese attivo da almeno il 2022, che nel 2025 ha arricchito il proprio toolkit con due nuovi implant: EchoCreep e GraphWorm.

Chi è Webworm: storia e attribuzioni

Webworm è stato documentato pubblicamente per la prima volta da Symantec (ora parte di Broadcom) nel settembre 2022. Il gruppo prende di mira agenzie governative e aziende nei settori IT, aerospaziale ed energia elettrica, con un focus geografico che comprende Russia, Georgia, Mongolia e diverse nazioni asiatiche ed europee. I ricercatori hanno identificato sovrapposizioni operative significative con cluster tracciati come FishMonger (alias Aquatic Panda), SixLittleMonkeys e Space Pirates — tutti threat actor con legami all’intelligence cinese.

La scelta dei bersagli — istituzioni governative, operatori di infrastrutture critiche e fornitori di servizi IT — è coerente con gli obiettivi strategici di raccolta intelligence attribuiti agli attori state-sponsored cinesi. Le recenti campagne hanno ampliato il raggio d’azione verso l’Europa, segnalando un’evoluzione geopolitica degli interessi del gruppo.

EchoCreep: Discord come infrastruttura C2

EchoCreep è il componente più semplice — ma non per questo meno insidioso — del nuovo arsenale. Utilizza Discord come canale di Command and Control, sfruttando le API della piattaforma di messaggistica per ricevere comandi dagli operatori e restituire output dalle macchine compromesse. Le funzionalità documentate dai ricercatori includono:

  • Upload e download di file arbitrari verso/dal sistema vittima
  • Esecuzione di comandi tramite cmd.exe con restituzione dell’output agli operatori
  • Persistenza tramite canale Discord dedicato, non esposto pubblicamente

L’analisi del canale Discord utilizzato da EchoCreep rivela che i primi comandi risalgono al 21 marzo 2024: ciò significa che l’implant era già operativo in campagne reali ben prima della sua scoperta pubblica, probabilmente inosservato per oltre un anno.

La scelta di Discord come C2 non è casuale. Il traffico verso discord.com è quasi universalmente consentito nelle policy di rete aziendali, il protocollo è HTTPS e il volume di traffico legittimo è enorme — condizioni ideali per mascherare comunicazioni malevole nel rumore di fondo.

GraphWorm: Microsoft OneDrive come dead drop

GraphWorm è il componente più sofisticato del nuovo toolkit. Utilizza Microsoft Graph API — la stessa infrastruttura usata da milioni di applicazioni enterprise — per le comunicazioni C2, sfruttando specificamente gli endpoint di OneDrive. La tecnica del “cloud dead drop” — usare servizi cloud legittimi come proxy per i comandi — è in crescita tra gli APT più avanzati, ma GraphWorm la porta a un livello di granularità operativa notevole.

Per ciascuna vittima compromessa, GraphWorm crea una directory dedicata su OneDrive, permettendo agli operatori di gestire in modo indipendente le operazioni su target diversi senza interferenze. Le capacità documentate includono:

  • Spawn di nuove sessioni cmd.exe per l’esecuzione interattiva di comandi
  • Avvio di processi arbitrari sul sistema vittima
  • Upload e download di file da/verso OneDrive tramite Graph API
  • Self-termination controllata su segnale degli operatori, per ridurre le tracce forensi

Il traffico verso graph.microsoft.com è considerato trust implicito nella maggior parte degli ambienti enterprise Microsoft 365, rendendo il rilevamento basato sul blocco dei domini o sull’ispezione superficiale del traffico del tutto inefficace.

Tooling, proxy custom e TTP completi

Webworm integra i propri backdoor con un ecosistema di strumenti offensive collaudato. Per la fase di ricognizione, il gruppo usa tool open source come dirsearch e nuclei per eseguire brute-force dei path su web server delle vittime e identificare vulnerabilità sfruttabili. Sul lato infrastrutturale, Webworm ha sviluppato una suite di proxy custom: WormFrp, ChainWorm, SmuxProxy e WormSocket. Questi strumenti non si limitano a cifrare le comunicazioni: supportano il chaining su host multipli — sia interni che esterni alla rete bersaglio — permettendo la costruzione di tunnel multi-hop difficili da tracciare. Il gruppo utilizza inoltre SoftEther VPN per un ulteriore layer di offuscamento dell’infrastruttura C2.

Indicatori di compromissione (IoC)

# Webworm - EchoCreep / GraphWorm IoC (maggio 2026)
# Tool legittimi usati in contesto malevolo
TOOL: dirsearch (github.com/maurosoria/dirsearch)
TOOL: nuclei (github.com/projectdiscovery/nuclei)
# Custom proxy tools Webworm
TOOL: WormFrp
TOOL: ChainWorm
TOOL: SmuxProxy
TOOL: WormSocket
# Patterns comportamentali da monitorare
BEHAVIOR: cmd.exe spawned by non-standard parent process
BEHAVIOR: Unusual OneDrive API calls (graph.microsoft.com) with file creation in per-victim dirs
BEHAVIOR: Discord API traffic with binary/encoded payloads
BEHAVIOR: SoftEther VPN client installation/execution
# Cluster correlati
ALIAS: FishMonger / Aquatic Panda
ALIAS: SixLittleMonkeys
ALIAS: Space Pirates

Due righe per i difensori

L’abuso di servizi cloud legittimi per il C2 richiede un cambio di paradigma nel rilevamento. Il blocco a livello di dominio è inefficace — occorre spostare l’attenzione sul comportamento. I blue team dovrebbero implementare analisi comportamentale del traffico verso API cloud note, cercando pattern anomali di upload/download non correlati all’attività utente attesa. È fondamentale monitorare la creazione di directory insolite su OneDrive enterprise tramite i log di Microsoft 365 Defender e correlare gli accessi OAuth a Microsoft Graph con i baseline comportamentali degli account di servizio. Sul piano degli endpoint, qualsiasi processo che spawni cmd.exe con parent process inusuali dovrebbe attivare alert ad alta priorità. Infine, regole Sigma per i pattern di traffico Discord e Graph API anomali, combinate con threat intelligence sui cluster Webworm, permettono un rilevamento proattivo di queste campagne.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Webworm evolve: i backdoor EchoCreep e GraphWorm trasformano Discord e Microsoft Graph in canali C2, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ le newsletter ]]