Webworm: China-APT spioniert über Discord und MS Graph

Eine Backdoor, die über Discord gesteuert wird? Genau das hat die Sicherheitsfirma ESET jetzt aufgedeckt. Die China-nahe Spionagegruppe Webworm — schon 2022 erstmals beschrieben — hat ihr Werkzeugarsenal kräftig aufgerüstet und nimmt jetzt gezielt europäische Regierungen ins Visier.

DIESE Länder stehen im Visier

Laut ESET hat Webworm seinen Fokus klar nach Europa verschoben. Betroffen sind Regierungsorganisationen in Belgien, Italien, Serbien, Spanien und Polen, dazu zusätzliche Aktivität in Südafrika. Die Forscher entschlüsselten über 400 Discord-Nachrichten, die zur Steuerung dienten — und bekamen so Einblick in die Infrastruktur. Das Ergebnis: Erkundungsaktivität gegen mehr als 50 einzelne Ziele.

EchoCreep und GraphWorm — die neuen Waffen

Das Gefährliche an der Kampagne: Webworm missbraucht vertrauenswürdige Cloud-Dienste als Tarnung. Zwei neue Backdoors stehen im Zentrum:

EchoCreep nutzt Discord für die Kommunikation mit der Steuerzentrale (C&C). Über den Chat-Dienst laden die Angreifer Dateien hoch, schicken Statusberichte und empfangen Befehle — getarnt als ganz normaler Discord-Verkehr.

GraphWorm setzt auf die Microsoft-Graph-API und OneDrive-Endpunkte, um Aufgaben abzurufen und gestohlene Daten abzuladen. Auch hier ist der Clou: Der Datenverkehr sieht aus wie legitime Microsoft-365-Nutzung und rutscht so an vielen Filtern vorbei.

WARUM das so schwer zu entdecken ist

Firewalls und Filter blockieren Discord und Microsoft Graph praktisch nie — diese Dienste sind in Unternehmen Alltag. Genau das macht sie zum perfekten Versteck: Die Backdoors verstecken ihren Befehls- und Datenverkehr in legitimem Cloud-Traffic. Klassische Erkennung, die auf verdächtige eigene Server der Angreifer schaut, läuft hier ins Leere.

Profi-Tarnung mit eigenen Proxy-Tools

Webworm gibt sich nicht mit Standard-Werkzeugen zufrieden. Die Gruppe hat ihre Proxy-Fähigkeiten mit maßgeschneiderten Tools wie WormFrp, ChainWorm, SmuxProxy und WormSocket ausgebaut. ESET geht davon aus, dass die Betreiber diese in Kombination mit SoftEther VPN einsetzen, um ihre Spuren noch besser zu verwischen.

So SCHÜTZT du deine Umgebung

1. Ausgehenden Traffic überwachen: Behalte Verbindungen zu Discord- und Microsoft-Graph-Endpunkten im Blick, besonders von Systemen, die diese Dienste normalerweise nicht brauchen. Anomalien sind hier das wichtigste Signal.

2. Anwendungs-Whitelisting: Wo möglich, sollten Server- und Behörden-Endpunkte keinen freien Zugang zu Chat-Diensten haben. Was nicht gebraucht wird, gehört gesperrt.

3. OAuth-Apps prüfen: Kontrolliere, welche Anwendungen Zugriff auf eure Microsoft-365-Umgebung haben. GraphWorm braucht entsprechende Berechtigungen — verdächtige App-Registrierungen sind ein Alarmzeichen.

FAZIT: Webworm zeigt, wohin die Reise bei Spionage-Gruppen geht: Statt eigener Infrastruktur missbrauchen sie Dienste, denen wir alle vertrauen. Wer seinen ausgehenden Cloud-Traffic nicht überwacht, hat hier einen blinden Fleck.

Häufige Fragen

Wer steckt hinter Webworm?

Webworm ist eine China-nahe APT-Gruppe (Advanced Persistent Threat), die bereits 2022 erstmals beschrieben wurde. Die aktuelle Analyse stammt von der Sicherheitsfirma ESET, die das erweiterte Werkzeugarsenal und die Verlagerung auf europäische Regierungsziele dokumentiert hat.

Warum nutzt die Gruppe Discord und Microsoft Graph?

Beide Dienste gelten als vertrauenswürdig und werden in Firmen kaum blockiert. Indem Webworm seinen Befehls- und Datenverkehr darin versteckt, umgeht die Gruppe viele Sicherheitsfilter, die nur nach verdächtigen eigenen Servern der Angreifer suchen.

Bin ich als normaler Nutzer betroffen?

Die Kampagne zielt gezielt auf Regierungsorganisationen in mehreren EU-Staaten, nicht auf Privatnutzer. Für Admins und Sicherheitsteams ist die Lehre dennoch wichtig: Ausgehender Traffic zu legitimen Cloud-Diensten muss überwacht werden, weil er als Tarnung dient.

Quellen:

SPIONAGE-ALARM! Chinas Webworm kapert JETZT Regierungen über Discord — und keiner merkt es