Ursprünglich verließ sich Webworm auf bekannte Schadsoftware-Familien wie McRat und Trochilus. Zuletzt verlagerte die Gruppe ihren Schwerpunkt jedoch auf vorhandene und maßgeschneiderte Proxy-Werkzeuge. Diese vor allem 2024 beobachteten Einsätze stützten sich laut ESET auf „legitime oder halblegitime Werkzeuge wie SOCKS-Proxys (SoftEther VPN) und andere Netzwerklösungen". Der Vorteil aus Sicht der Angreifer: Klassische Malware hinterlässt Signaturen, Artefakte und auffällige Datenverkehrsmuster, die sich leicht erkennen lassen. Proxy-Werkzeuge dagegen fungieren als Mittelsmann zwischen Opfer und Angreifer, erfordern mehr Handarbeit und eigenes Werkzeug und gelten als deutlich unauffälliger als eine typische Backdoor.
2025 führte Webworm dann zwei neue Backdoors ein. EchoCreep wickelt die C2-Kommunikation über Discord ab, GraphWorm über die Microsoft-Graph-API. ESET beobachtete zudem, dass die Gruppe Schadsoftware und Werkzeuge in GitHub-Repositories ablegt, um sie bequem auf die Rechner der Opfer herunterzuladen. Damit reiht sich Webworm in einen Trend ein, bei dem Angreifer ungewöhnliche C2-Wege nutzen – in den vergangenen ein bis zwei Jahren etwa Google Calendar oder die Solana-Blockchain.
Die Zuordnung gelang ESET über die Entschlüsselung der von EchoCreep genutzten Discord-Nachrichten, die zu einem GitHub-Repository und zu einer bekannten Webworm-IP-Adresse führte. Nach der Analyse von 400 Discord-Nachrichten stellte ESET fest, dass EchoCreep den Dienst nutzt, um Dateien hochzuladen, Laufzeitberichte zu senden und Befehle zu empfangen; dabei werden präparierte HTTP-Anfragen über die Discord-API geleitet. GraphWorm wiederum bezieht über OneDrive-Endpunkte neue Aufträge und lädt Opferdaten hoch. Für jedes EchoCreep-Opfer kommt ein eigener Discord-Server zum Einsatz, für jedes GraphWorm-Opfer ein eigenes OneDrive-Verzeichnis.
Parallel setzt die Gruppe weiter auf Proxy-Lösungen, um Kommunikation zu verschlüsseln und Verbindungen zwischen internen und externen Hosts zu verketten. Dazu zählen das Portweiterleitungs- und Proxy-Werkzeug iox sowie die Eigenentwicklungen ChainWorm, SmuxProxy, WormFrp und WormSocket. Nach Einschätzung von ESET kombinieren die Betreiber diese Werkzeuge mit SoftEther VPN, „um ihre Spuren besser zu verwischen". Alle Proxys und VPN-Dienste liefen demnach auf Cloud-Servern der Anbieter Vultr und IT7 Networks; angesichts der Zahl und Komplexität der Proxy-Werkzeuge könnte Webworm ein größeres verborgenes Netz aufbauen, indem es Opfer dazu bringt, dessen Proxys auszuführen. Zudem begann der Akteur, mit dem Eigen-Werkzeug WormFrp Konfigurationen aus einem kompromittierten Amazon-S3-Bucket abzurufen.
Wie sich Webworm zunächst Zugang verschafft, bleibt laut Howard weitgehend unklar. Bekannt ist, dass die Gruppe quelloffene Schwachstellen-Scanner einsetzt, um Webserver-Dateien und -Verzeichnisse im Zielnetz nach Lücken zu durchsuchen – möglicherweise dringt sie über solche Schwachstellen ein und installiert die Backdoors danach. Zu den Zielen Chinas wollte sich Howard nicht äußern; Webworm scheine aber Ansatzpunkte für den Erstzugriff zu suchen, um sich „so weit wie möglich" für Spionagezwecke vorzuarbeiten. Europäischen Organisationen empfiehlt der Forscher, Systeme gepatcht zu halten, die Angriffsfläche zu begrenzen und Kommunikation nicht standardmäßiger Prozesse zu Endpunkten wie Discord, Microsoft Graph oder S3 zu prüfen. Der ESET-Beitrag enthält Kompromittierungsindikatoren.
