Hackers vinculados a China usan Discord y Microsoft Graph para espiar a gobiernos europeos

GraphWorm

• Backdoor que se comunica mediante la Microsoft Graph API.
• Esta interfaz permite interactuar con servicios de Microsoft 365 de forma programática, lo que hace que la actividad maliciosa pueda parecer tráfico empresarial normal.

Durante su investigación, los analistas de ESET lograron descifrar más de 400 mensajes de Discord vinculados a la operación, lo que permitió comprender cómo los atacantes gestionaban los equipos comprometidos y coordinaban el robo de datos.

Cómo se esconden dentro de servicios legítimos

Una de las tácticas clave del grupo es utilizar plataformas ampliamente confiables para ocultar sus operaciones. Según ESET, Webworm abusó de varios servicios legítimos para controlar malware o mover datos robados, entre ellos:

• Discord: utilizado por EchoCreep para comunicaciones de comando y control y transferencia de archivos.
• Microsoft Graph API: empleado por GraphWorm para enviar y recibir instrucciones dentro de entornos de Microsoft 365.
• Microsoft OneDrive: usado para almacenar o transferir archivos y datos obtenidos en las intrusiones.
• GitHub: integrado en la infraestructura utilizada para apoyar operaciones del malware y comunicaciones encubiertas.

El uso de servicios legítimos es una estrategia eficaz porque muchas organizaciones dependen de estas plataformas para su trabajo diario. Bloquear completamente herramientas como Microsoft 365 o Discord suele ser inviable, lo que permite a los atacantes camuflar su tráfico dentro de actividades aparentemente normales.

Gobiernos europeos entre los principales objetivos

La investigación muestra que Webworm ha cambiado su foco hacia instituciones gubernamentales en Europa.

Los investigadores observaron ataques dirigidos a organizaciones en:

• Bélgica
• Italia
• Polonia
• Serbia
• España

Además, se detectó actividad relacionada con una universidad en Sudáfrica, lo que indica que la campaña no se limita exclusivamente al continente europeo.

Los informes públicos no identifican los ministerios o agencias concretas afectados.

Evolución de sus herramientas de espionaje

Webworm está activo al menos desde 2022 y en sus campañas anteriores utilizaba troyanos de acceso remoto (RAT) conocidos, como Trochilus o 9002 RAT (McRat).

Sin embargo, ESET indica que el grupo ha ido abandonando progresivamente los RAT tradicionales en favor de herramientas más ligeras basadas en proxies, túneles y backdoors minimalistas.

Este cambio ofrece varias ventajas operativas:

• Menor huella de malware en los sistemas comprometidos
• Tráfico de red que se parece más al uso legítimo de servicios
• Menos indicadores evidentes para antivirus o herramientas de detección

Combinadas con canales de comunicación en la nube, estas técnicas permiten a los atacantes mantener acceso persistente a las redes mientras reducen la probabilidad de ser detectados.

Una tendencia creciente en el ciberespionaje

El caso de Webworm refleja una tendencia más amplia en las campañas de espionaje digital: ocultar operaciones maliciosas dentro de servicios cloud legítimos.

Cuando los atacantes utilizan plataformas confiables como Discord, OneDrive o APIs corporativas, las soluciones de seguridad deben diferenciar entre el uso legítimo y el uso malicioso de la misma infraestructura. En muchos entornos empresariales, bloquear estos servicios no es una opción realista.

Por esa razón, los especialistas recomiendan que las organizaciones refuercen la detección basada en comportamiento, el monitoreo de identidades y el análisis de anomalías, en lugar de depender únicamente del bloqueo de dominios o direcciones IP.

El informe de ESET sugiere que Webworm seguirá avanzando hacia infraestructuras de comando y control basadas en la nube y herramientas cada vez más discretas, una combinación que puede hacer que futuras campañas de espionaje sean aún más difíciles de descubrir.