HackerangriffeDatenschutzSchwachstellen

Chinesische APT-Gruppe Webworm nutzt Discord und Microsoft Graph zur Spionage europäischer Regierungen

Von CyberDeutsch Redaktion
Chinesische APT-Gruppe Webworm nutzt Discord und Microsoft Graph zur Spionage europäischer Regierungen
Zusammenfassung

Die chinesische Hacker-Gruppe Webworm führt derzeit gezielte Angriffe auf Regierungsorganisationen in mehreren europäischen Ländern durch, darunter Belgien, Italien, Serbien, Spanien und Polen. Das Sicherheitsunternehmen ESET hat in dieser Woche Forschungsergebnisse veröffentlicht, die zeigen, wie die APT-Gruppe ihre Taktiken erheblich weiterentwickelt hat. Besonders bemerkenswert ist der Einsatz ungewöhnlicher Kommunikationskanäle für Befehls- und Kontrollzwecke: Die Angreifer nutzen den Messenger-Dienst Discord sowie die Microsoft Graph API, um mit ihren kompromittierten Systemen zu kommunizieren. Dadurch umgehen sie klassische Sicherheitsmechanismen, die auf erkannte Malware-Signaturen ausgelegt sind. Für deutsche Behörden und Unternehmen ist diese Entwicklung besorgniserregend, da ähnliche Angriffsmuster auch hierzulande auftreten könnten. Experten empfehlen Organisationen dringend, ihre Systeme regelmäßig zu patchen, verdächtige Kommunikationsmuster zu beobachten und den Zugriff auf legitime Online-Dienste wie Discord oder Microsoft-Produkte kritisch zu überprüfen, um solche Kompromittierungen frühzeitig zu erkennen.

Die Aktivitäten der Webworm-Gruppe erstrecken sich über den Zeitraum von Anfang 2024 bis Anfang 2025 und zeigen eine bemerkenswerte Evolution der Angriffsstrategien. Ursprünglich, als die Gruppe 2022 erstmals dokumentiert wurde, verließ sich Webworm auf bekannte Malware-Familien wie McRat und Trochilus. Doch die Gruppe hat ihre Methoden grundlegend modernisiert – ein typisches Muster bei staatlich gestützten Cyberangreifern.

Das Kernproblem bei konventioneller Malware ist ihre Erkennbarkeit: Signaturen, digitale Artefakte und Netzwerkmuster ermöglichen es Sicherheitsteams, solche Angriffe zu entdecken. Webworm ist zu sogenannten Proxy-Tools übergegangen, die als Vermittler zwischen Opfer und Angreifer fungieren und deutlich schwerer zu erkennen sind. 2024 beobachtete ESET die Nutzung von Tools wie SoftEther VPN und anderen Netzwerklösungen.

Doch 2025 ging Webworm noch einen Schritt weiter: Die Gruppe präsentiert zwei völlig neue Backdoor-Trojaner. EchoCreep nutzt Discord als Kommando-und-Kontroll-Kanal – ein besonders raffinierter Ansatz, da der Traffic als reguläre Chat-Kommunikation getarnt werden kann. GraphWorm setzt auf Microsofts Graph API und OneDrive-Endpunkte. Die Analyse von etwa 400 Discord-Nachrichten zeigte, dass EchoCreep Dateien hochladen, Statusberichte senden und Befehle empfangen kann. Für jeden Opfer-Account nutzt die Gruppe separate Discord-Server respektive OneDrive-Verzeichnisse.

Zusätzlich lagert Webworm Malware und Tools in GitHub-Repositories ein – ein Download mit einem Befehl und die Kompromittierung ist perfekt getarnt. Die Proxy-Tools WormFrp, SmuxProxy, ChainWorm und WormSocket zeigen, dass die Gruppe ein komplexes, verteiltes Netzwerk aufbaut. Besonders beunruhigend: Die Cloud-Infrastruktur läuft über Vultr und IT7 Networks, was dem Angreifer maximale Anonymität bietet.

Als Einstiegspunkt nutzt Webworm Open-Source-Vulnerability-Scanner, um Webserver-Dateien und Verzeichnisse nach Schwachstellen zu durchsuchen. Dies deutet darauf hin, dass ungepatchte Systeme ein hohes Risiko darstellen.

Für europäische und deutsche Organisationen empfiehlt ESET zwei dringende Maßnahmen: Erstens, Systeme aktuell halten und Netzwerk-Assets schützen. Zweitens, ungewöhnliche Kommunikation von Prozessen zu Discord, Microsoft Graph oder Amazon S3 überwachen – besonders wenn Datenübertragungen außerhalb der normalen Workflows stattfinden.

Ähnliche Artikel