Webworm nutzt Discord und Microsoft Graph für verdeckte Cyber‑Spionage

GraphWorm

• Backdoor, die über die Microsoft Graph API kommuniziert
• Ermöglicht Angreifern, Microsoft‑365‑Dienste programmgesteuert zu nutzen und schädliche Aktivitäten im normalen Unternehmensverkehr zu verstecken

Im Zuge der Untersuchung konnten ESET‑Forscher mehr als 400 Discord‑Nachrichten entschlüsseln, die Einblicke in die Steuerung kompromittierter Systeme und die Organisation der Datenexfiltration gaben.

Missbrauch legitimer Cloud‑Dienste

Ein zentrales Merkmal der Webworm‑Operation ist die Nutzung vertrauenswürdiger Cloud‑Plattformen für bösartige Aktivitäten. Laut ESET wurden unter anderem folgende Dienste missbraucht:

• Discord – Steuerung der Malware und Dateiübertragungen über EchoCreep
• Microsoft Graph API – Kommunikation von GraphWorm über Microsoft‑365‑Umgebungen
• Microsoft OneDrive – Speicherung oder Transfer gestohlener Daten
• GitHub – Unterstützung der Infrastruktur und Kommunikation der Malware

Da diese Plattformen in vielen Unternehmen ohnehin erlaubt sind, lässt sich der schädliche Datenverkehr nur schwer von normaler Nutzung unterscheiden. Sicherheitsabteilungen können Dienste wie Microsoft 365 oder Discord oft nicht einfach komplett blockieren, wodurch Angreifer einen dauerhaften verdeckten Kommunikationskanal erhalten.

Ziele: Regierungsorganisationen in Europa

Die aktuelle Kampagne richtet sich laut ESET verstärkt gegen staatliche Einrichtungen in Europa. Beobachtete Ziele befinden sich in:

• Belgien
• Italien
• Polen
• Serbien
• Spanien

Zusätzlich entdeckten die Forscher Aktivitäten rund um eine Universität in Südafrika, was darauf hindeutet, dass die Operation geografisch über Europa hinausreicht.

Welche konkreten Ministerien oder Behörden betroffen sind, wurde öffentlich nicht genannt.

Abkehr von klassischer RAT‑Malware

Webworm ist mindestens seit 2022 aktiv. Frühere Kampagnen der Gruppe nutzten klassische Remote‑Access‑Trojaner wie Trochilus und 9002 RAT (McRat).

Neuere Operationen zeigen jedoch eine klare Veränderung der Taktik: Statt großer, funktionsreicher Malware setzt die Gruppe zunehmend auf Proxy‑ und Tunnel‑Tools sowie schlankere Backdoors.

Diese Strategie bringt mehrere Vorteile:

• kleinere Malware‑Spuren auf kompromittierten Systemen
• Netzwerkverkehr, der legitimen Cloud‑Traffic ähnelt
• weniger eindeutige Signaturen für Antivirus‑ oder Endpoint‑Security‑Tools

Durch die Kombination solcher Tools mit Cloud‑basierten Steuerkanälen können Angreifer langfristig Zugriff behalten, ohne sofort entdeckt zu werden.

Warum solche Angriffe schwerer zu entdecken sind

Die Webworm‑Kampagne verdeutlicht einen wachsenden Trend in der Cyber‑Spionage: Angreifer verstecken ihre Infrastruktur innerhalb legitimer Dienste.

Wenn dieselben Plattformen – etwa Discord, OneDrive oder Microsoft‑APIs – sowohl für legitime Arbeit als auch für Angriffe genutzt werden, müssen Sicherheitslösungen zwischen normalem Verhalten und Missbrauch unterscheiden. Das ist deutlich komplexer als das Blockieren eindeutig bösartiger Domains oder Server.

ESET zufolge passt Webworm sein Arsenal genau an diese Realität an und setzt verstärkt auf cloudnative Command‑and‑Control‑Kanäle und unauffällige Proxy‑Techniken, die Spionagekampagnen deutlich schwerer aufspürbar machen.

Für Verteidiger bedeutet das: Klassische Netzwerk‑Blocklisten reichen immer weniger aus. Stattdessen gewinnen Verhaltensanalyse, Identitätsüberwachung und Anomalieerkennung zunehmend an Bedeutung.