Backdoor EchoCreep dan GraphWorm: Cara Webworm Menyusup lewat Layanan Cloud Populer

Selama penyelidikan, peneliti ESET bahkan berhasil mendekripsi lebih dari 400 pesan Discord yang terkait dengan operasi ini. Pesan‑pesan tersebut memberikan gambaran tentang bagaimana penyerang mengendalikan komputer korban dan mengelola data yang dicuri.

Menyalahgunakan layanan cloud yang sah

Strategi utama Webworm adalah memanfaatkan platform yang sudah dipercaya organisasi. Dengan begitu, komunikasi malware dapat “menyatu” dengan lalu lintas jaringan biasa.

Beberapa layanan yang disalahgunakan dalam kampanye ini meliputi:

• Discord – digunakan oleh EchoCreep untuk menerima perintah dan mengirim file.
• Microsoft Graph API – digunakan oleh GraphWorm untuk komunikasi melalui lingkungan Microsoft 365.
• Microsoft OneDrive – digunakan untuk menyimpan atau memindahkan data hasil pencurian.
• GitHub – dimanfaatkan sebagai bagian dari infrastruktur operasi malware.

Karena layanan tersebut lazim dipakai dalam lingkungan kerja modern, banyak organisasi enggan memblokirnya sepenuhnya. Kondisi ini memberi penyerang saluran komunikasi yang relatif tersembunyi.

Target: lembaga pemerintah di Eropa

Menurut temuan ESET, fokus operasi Webworm baru‑baru ini bergeser ke institusi pemerintah di Eropa.

Negara yang teridentifikasi sebagai target antara lain:

• Belgia
• Italia
• Polandia
• Serbia
• Spanyol

Selain itu, peneliti juga menemukan aktivitas yang melibatkan sebuah universitas di Afrika Selatan, menunjukkan bahwa operasi ini tidak terbatas pada satu wilayah saja.

Laporan publik tidak menyebutkan secara rinci kementerian atau badan pemerintah mana yang disusupi.

Beralih dari RAT lama ke alat yang lebih tersembunyi

Webworm diketahui aktif setidaknya sejak 2022. Pada fase awal operasinya, kelompok ini sering menggunakan remote access trojan (RAT) tradisional seperti Trochilus dan 9002 RAT (McRat).

Namun dalam beberapa tahun terakhir, peneliti melihat perubahan strategi. Webworm kini lebih sering menggunakan:

• alat proxy dan tunneling
• backdoor ringan yang terintegrasi dengan layanan cloud

Pendekatan ini memberikan beberapa keuntungan bagi penyerang:

• Jejak malware lebih kecil di sistem korban
• Trafik jaringan tampak seperti aktivitas cloud biasa
• Lebih sedikit indikator yang dapat dideteksi oleh antivirus atau sistem keamanan endpoint

Dengan menggabungkan teknik ini dengan saluran komunikasi berbasis cloud, penyerang dapat mempertahankan akses jangka panjang ke jaringan korban tanpa mudah terdeteksi.

Mengapa teknik ini sulit dideteksi

Kampanye Webworm mencerminkan tren yang semakin umum dalam spionase siber modern: menyembunyikan operasi berbahaya di dalam layanan digital yang sah.

Ketika malware berkomunikasi melalui platform yang memang digunakan sehari‑hari—seperti Discord atau Microsoft 365—tim keamanan harus membedakan antara aktivitas normal dan aktivitas berbahaya pada layanan yang sama. Memblokir layanan tersebut sepenuhnya sering kali tidak realistis bagi organisasi.

Temuan ESET menunjukkan bahwa Webworm secara aktif menyesuaikan taktiknya dengan memanfaatkan command‑and‑control berbasis cloud dan alat tunneling yang lebih tersembunyi, sehingga kampanye spionase menjadi semakin sulit diungkap.

Bagi organisasi, pendekatan keamanan juga perlu berubah: bukan hanya memblokir domain atau alamat IP, tetapi memantau perilaku sistem, aktivitas identitas pengguna, dan pola akses yang tidak biasa di layanan cloud.