ESET Research publie une analyse détaillée des campagnes 2025 du groupe APT Webworm, aligné sur la Chine. Les chercheurs ont documenté deux nouvelles backdoors — EchoCreep et GraphWorm — qui exploitent respectivement Discord et l’API Microsoft Graph comme canaux de commandement et contrôle (C2), une technique d’évasion de plus en plus prisée par les acteurs étatiques pour fondre leurs communications malveillantes dans le trafic légitime des entreprises.
EchoCreep : Discord comme canal C2
EchoCreep est une porte dérobée utilisant l’API Discord pour l’ensemble de ses opérations C2 : réception de commandes, téléversement de fichiers exfiltrés et envoi de rapports d’exécution. Les chercheurs d’ESET ont réussi à déchiffrer plus de 400 messages échangés via cette infrastructure, remontant jusqu’au serveur Discord opéré par les attaquants — un asset qui a servi à des opérations de reconnaissance contre plus de 50 cibles distinctes.
L’attribution de la campagne à Webworm a été établie grâce aux artefacts découverts sur le dépôt GitHub des opérateurs, notamment une configuration SoftEther VPN contenant une adresse IP déjà connue comme étant liée au groupe.
GraphWorm : OneDrive comme vecteur d’exfiltration
GraphWorm s’appuie exclusivement sur l’API Microsoft Graph, et plus précisément sur les endpoints OneDrive, pour deux fonctions critiques : la récupération de nouvelles tâches depuis les opérateurs et l’envoi de données volées sur les victimes. L’usage de services cloud Microsoft légitime complique significativement la détection réseau et l’analyse forensique, les flux C2 étant indiscernables du trafic Microsoft 365 standard.
Infrastructure proxy : WormFrp, ChainWorm, SmuxProxy, WormSocket
Webworm a également étendu son arsenal de proxy avec quatre solutions maison : WormFrp, ChainWorm, SmuxProxy et WormSocket, qui s’ajoutent aux outils proxy tiers déjà en usage. WormFrp présente une particularité notable : il récupère ses fichiers de configuration depuis un bucket AWS S3 compromis, permettant au groupe de faire supporter les coûts d’infrastructure à la victime elle-même.
« Entre décembre 2025 et janvier 2026, les opérateurs ont téléversé 20 nouveaux fichiers sur ce service S3, dont deux avaient été exfiltrés depuis une entité gouvernementale en Espagne », note Eric Howard, chercheur ESET à l’origine de la découverte. La densité et la diversité de ces outils proxy suggèrent que Webworm est en train de constituer un réseau de relais discret, en cooptant les machines de ses victimes à leur insu.
Cibles et TTPs d’accès initial
Les cibles identifiées incluent des organismes gouvernementaux en Belgique, Italie, Pologne, Serbie et Espagne, ainsi qu’une université en Afrique du Sud. L’analyse des messages Discord déchiffrés a fourni des indices sur les vecteurs d’accès initial, pointant notamment vers l’utilisation d’un scanner de vulnérabilités open source pour la phase de reconnaissance.
Le groupe maintient une activité régulière sur GitHub pour préparer ses outils à l’avance — une pratique susceptible de continuer selon ESET. L’analyse technique complète, intitulée « Webworm: New burrowing techniques », est disponible sur WeLiveSecurity.com.
