Webworm setzte bei früheren Angriffen auf Fernzugriffstrojaner (RATs) wie Trochilus RAT, Gh0st RAT und 9002 RAT (auch bekannt als Hydraq und McRat). Die Gruppe überschneidet sich nach Einschätzung der Forscher mit den China-nahen Clustern FishMonger (auch Aquatic Panda), SixLittleMonkeys und Space Pirates. SixLittleMonkeys ist vor allem für den Einsatz von Gh0st RAT und einer RAT namens Mikroceen gegen Ziele in Zentralasien, Russland, Belarus und der Mongolei bekannt.

In den vergangenen Jahren bewegte sich der Akteur weg von klassischen Backdoors hin zu (halb-)legitimen Werkzeugen wie SOCKS-Proxys. „In den letzten Jahren hat die Gruppe damit begonnen, auf bestehende und maßgeschneiderte Proxy-Werkzeuge umzusteigen, die unauffälliger sind als vollwertige Backdoors", sagte ESET-Forscher Eric Howard. 2025 seien mit EchoCreep und GraphWorm zwei neue Backdoors hinzugekommen.

Als Ablageort für Schadsoftware und Werkzeuge wie SoftEther VPN dient den Angreifern ein GitHub-Repository, das einen WordPress-Fork imitiert („github[.]com/anjsdgasdf/WordPress"). Der Rückgriff auf SoftEther VPN ist ein bewährtes Vorgehen mehrerer chinesischer Gruppen. Zu den weiteren Werkzeugen zählen iox sowie eigene Proxy-Lösungen wie WormFrp, ChainWorm, SmuxProxy und WormSocket. WormFrp lädt seine Konfiguration aus einem kompromittierten Amazon-S3-Bucket. Laut ESET können diese Proxy-Werkzeuge die Kommunikation verschlüsseln und über mehrere Hosts innerhalb und außerhalb eines Netzwerks verketten; in Kombination mit SoftEther VPN verschleierten die Betreiber so ihre Spuren.

EchoCreep beherrscht das Hoch- und Herunterladen von Dateien sowie die Befehlsausführung über „cmd.exe". GraphWorm gilt als fortgeschrittener: Die Backdoor kann eine neue „cmd.exe"-Sitzung starten, einen neu erzeugten Prozess ausführen, Dateien mit Microsoft OneDrive austauschen und ihre eigene Ausführung auf Signal der Betreiber beenden. Eine Analyse des von EchoCreep als C2 genutzten Discord-Kanals zeigt, dass die frühesten Befehle bis zum 21. März 2024 zurückreichen; insgesamt wurden 433 Discord-Nachrichten über den C2-Server verschickt.

Zum Erstzugang ist bekannt, dass die Angreifer quelloffene Werkzeuge wie dirsearch und nuclei einsetzen, um Dateien und Verzeichnisse auf Webservern der Opfer per Brute-Force aufzuspüren und nach Schwachstellen zu durchsuchen.

Parallel beleuchtete Cisco Talos eine BadIIS-Variante, die unter mehreren chinesischsprachigen Cybercrime-Gruppen in einem Malware-as-a-Service-Modell (MaaS) verkauft oder geteilt wird und seit mindestens dem 30. September 2021 in Entwicklung sein soll. Der Autor, der unter dem Alias „lwxat" auftritt, stellt zusätzliche Werkzeuge bereit, darunter dienstbasierte Installer, Dropper und Persistenzmechanismen. Ein eigenes Builder-Werkzeug erlaubt laut Talos-Forscher Joey Chen, Konfigurationsdateien zu erzeugen und Payloads anzupassen – mit Funktionen wie der Umleitung von Datenverkehr auf illegale Seiten, Reverse-Proxying zur Manipulation von Suchmaschinen-Crawlern, Content-Hijacking und Backlink-Injektion für betrügerische Suchmaschinenoptimierung (SEO).