HackerangriffeMalwareSchwachstellen

Webworm-Attacken: Chinesische Hackergruppe setzt auf Discord und Microsoft Graph für Backdoor-Kommunikation

Von CyberDeutsch Redaktion
Webworm-Attacken: Chinesische Hackergruppe setzt auf Discord und Microsoft Graph für Backdoor-Kommunikation
Zusammenfassung

Die chinesische Hackergruppe Webworm hat 2025 ihre Angriffsfähigkeiten erheblich erweitert und setzt dabei zwei neue Backdoors ein: EchoCreep nutzt Discord für die Kommunikation mit kompromittierten Systemen, während GraphWorm die Microsoft Graph API missbraucht. Die Gruppe, die seit mindestens 2022 aktiv ist, hat sich bislang auf Regierungsbehörden und Unternehmen in Russland, Georgien und Asien konzentriert, verschiebt ihren Fokus aber zunehmend nach Europa. Betroffen sind inzwischen auch Behörden in Belgien, Italien, Polen und Spanien sowie Universitäten. Für deutsche Unternehmen und Behörden ist dies besorgniserregend, da Webworm gezielt kritische Infrastrukturen wie IT-Services, Luftfahrt und Energieversorger ins Visier nimmt – Sektoren, in denen auch Deutschland besonders exponiert ist. Die neuen Backdoors sind besonders tückisch, da sie über populäre Dienste wie Discord und Microsoft Graph API kommunizieren, was die Erkennung erschwert. Webworms Strategie, von traditionellen Trojanern zu legitimen Tools und Custom-Proxy-Lösungen zu wechseln, macht ihre Aktivitäten deutlich schwerer zu detektieren. Deutsche Organisationen sollten ihre Abwehrmaßnahmen überprüfen und verstärkt auf verdächtige Aktivitäten in ihren Microsoft- und Cloud-Umgebungen achten.

Die Hackergruppe Webworm, die bereits seit 2022 aktiv ist und erstmals durch Symantec dokumentiert wurde, erweitert kontinuierlich ihr Arsenal an Angriffstools. Während traditionelle Remote-Access-Trojaner wie Trochilus RAT, Gh0st RAT und 9002 RAT zunehmend an Bedeutung verlieren, konzentriert sich die Gruppe auf modernere, subtilere Methoden. Die beiden neu entdeckten Backdoors EchoCreep und GraphWorm symbolisieren diesen Wandel: Sie nutzen populäre Dienste als Kommando- und Kontrollkanäle (C2), was es Sicherheitsteams erheblich erschwert, verdächtige Aktivitäten zu identifizieren.

EchoCreep kommuniziert über Discord und ermöglicht Dateioperationen sowie Befehlsausführung via cmd.exe. GraphWorm ist dabei noch sophistizierter: Das Tool kann nicht nur neue cmd.exe-Sitzungen starten und Prozesse ausführen, sondern auch Dateien zu und von Microsoft OneDrive synchronisieren. Besonders bemerkenswert ist, dass die Discord-basierten Angriffe bereits seit März 2024 aktiv sind – insgesamt wurden über 430 Befehle über einen Discord-Kanal abgesendet.

Die Gruppe nutzt ein cleveres Camouflage-System: Ein gefälschtes WordPress-Repository auf GitHub dient als Staging-Bereich für Malware und Tools wie SoftEther VPN. Kombiniert mit benutzerdefinierten Proxy-Tools wie WormFrp und ChainWorm entsteht eine mehrschichtige Verschleierungsarchitektur, die selbst fortgeschrittene Netzwerk-Analysen durchbrechen kann.

Besonders alarmierend ist die geografische Ausweitung: Während Webworm ursprünglich Länder wie Russland, Georgien und die Mongolei attackierte, zielt die Gruppe inzwischen vermehrt auf europäische Institutionen ab – einschließlich Regierungsorganisationen in Belgien, Italien, Serbien, Polen und Spanien.

Zum Einsatz kommen auch offene Penetrations-Test-Tools wie dirsearch und nuclei, mit denen die Angreifer gezielt nach Webserver-Schwachstellen suchen. Der exakte Angriffsvektor ist bislang unbekannt, doch deutet vieles auf unzureichende Patch-Management-Prozesse bei den Opfern hin.

Experten warnen, dass die Verwendung legitimer Dienste für C2-Kommunikation ein fundamentales Sicherheitsproblem darstellt: Klassische Firewall-Regeln, die Discord oder Microsoft APIs blockieren, sind für die meisten Organisationen wirtschaftlich unrentabel. Unternehmen sollten deshalb besonderes Augenmerk auf anomale API-Nutzungsmuster und unerwartete Authentifizierungen legen.

Ähnliche Artikel