Webworm usa Discord e Graph API mentre BadIIS diventa MaaS per server IIS

Il gruppo cinese Webworm amplia il proprio arsenale malware con due nuove backdoor chiamate EchoCreep e GraphWorm mentre l’ecosistema BadIIS evolve in una piattaforma Malware-as-a-Service destinata a frodi SEO e compromissioni di server Microsoft IIS. Le campagne osservate tra il 2024 e il 2026 mostrano un’evoluzione tecnica significativa rispetto ai tradizionali RAT utilizzati in passato dai gruppi cinesi. EchoCreep sfrutta Discord come canale di comando e controllo mentre GraphWorm utilizza direttamente le Microsoft Graph API e OneDrive per mimetizzare il traffico malevolo dentro servizi cloud legittimi. Parallelamente Cisco Talos ha documentato oltre cinque anni di sviluppo continuo del malware BadIIS, attribuito all’autore “lwxat”, con builder personalizzabili destinati a campagne di hijacking SEO e reverse proxy malevoli. Le operazioni hanno colpito organizzazioni governative, università, aziende IT, aerospazio e infrastrutture energetiche in Europa, Asia, Russia e Sudafrica. L’uso combinato di servizi cloud pubblici, repository GitHub, VPN stealth e infrastrutture MaaS conferma una strategia cinese sempre più orientata verso operazioni silenziose, persistenti e altamente scalabili.

Webworm amplia le operazioni contro Europa e infrastrutture strategiche

Il gruppo Webworm, documentato inizialmente nel 2022, ha progressivamente spostato il proprio focus operativo dall’Asia verso l’Europa e il Sudafrica. Le campagne più recenti hanno preso di mira organizzazioni in Belgio, Italia, Serbia, Polonia, Spagna e un’importante università sudafricana. Gli obiettivi includono enti governativi, provider IT, aziende aerospaziali e operatori del settore elettrico. Gli analisti osservano alcune sovrapposizioni con gruppi come Aquatic Panda, SixLittleMonkeys e Space Pirates, ma i legami operativi restano difficili da dimostrare perché gran parte degli strumenti utilizzati deriva da progetti open source o framework facilmente riutilizzabili da attori differenti. La trasformazione più evidente riguarda però l’abbandono progressivo di RAT tradizionali come Trochilus e 9002 a favore di malware custom sviluppati per utilizzare servizi cloud legittimi come infrastruttura C2. Questo approccio riduce drasticamente l’impronta di rilevamento e rende più complesso distinguere il traffico malevolo dalle normali attività aziendali.

EchoCreep usa Discord per eseguire comandi e trasferire file

La prima delle nuove backdoor introdotte da Webworm nel 2025 è EchoCreep, un malware leggero progettato per utilizzare esclusivamente Discord come infrastruttura di comando e controllo. Il malware consente upload e download di file, esecuzione remota di comandi tramite cmd.exe e gestione di attività basilari di raccolta dati. L’analisi del canale C2 ha mostrato attività operative già dal 21 marzo 2024 con almeno 433 messaggi inviati verso oltre 50 target differenti. Gli operatori utilizzano Discord perché il traffico risulta cifrato, comune negli ambienti enterprise e difficilmente bloccabile senza impatti operativi collaterali. EchoCreep rappresenta una backdoor minimale ma estremamente efficace per le prime fasi di compromissione e ricognizione interna. Una volta ottenuto accesso iniziale, gli attaccanti possono distribuire strumenti più avanzati oppure utilizzare la macchina compromessa come nodo proxy per movimenti laterali. La scelta di piattaforme consumer come Discord riflette una tendenza sempre più diffusa tra gruppi APT orientati a nascondersi dentro ecosistemi cloud legittimi già presenti nelle reti aziendali.

GraphWorm sfrutta Microsoft Graph API e OneDrive come C2 stealth

La seconda backdoor introdotta da Webworm, denominata GraphWorm, mostra un livello di sofisticazione molto superiore rispetto a EchoCreep. Il malware utilizza direttamente le Microsoft Graph API e servizi OneDrive per comunicare con gli operatori e trasferire dati rubati. Questa tecnica permette di nascondere completamente il traffico malevolo dentro comunicazioni apparentemente legittime verso infrastrutture Microsoft utilizzate quotidianamente dalle aziende. GraphWorm supporta la creazione di nuove sessioni cmd.exe, esecuzione di processi arbitrari, upload e download di file e spegnimento controllato della backdoor tramite segnali remoti inviati dagli operatori. L’uso delle Graph API consente inoltre agli aggressori di sfruttare token OAuth e sessioni cloud già autorizzate dagli utenti compromessi. Nei sistemi di monitoraggio tradizionali il traffico verso graph.microsoft.com viene spesso considerato affidabile, riducendo ulteriormente la probabilità di rilevamento. Questa evoluzione mostra come i gruppi cinesi stiano progressivamente trasformando i servizi SaaS enterprise in veri e propri livelli infrastrutturali per il comando e controllo avanzato.

GitHub e repository WordPress diventano piattaforme di staging malware

Per distribuire payload e utility, Webworm utilizza repository pubblici ospitati su GitHub impersonando fork apparentemente legittimi di progetti popolari come WordPress. Uno dei repository individuati, denominato anjsdgasdf/WordPress, viene usato come base di staging per malware, proxy custom, pacchetti VPN e strumenti di supporto alle operazioni. Questo approccio elimina la necessità di mantenere server C2 dedicati facilmente identificabili dagli analisti di sicurezza. I payload possono essere aggiornati rapidamente e distribuiti direttamente da infrastrutture cloud affidabili. Il gruppo combina i repository GitHub con utility proxy sviluppate internamente creando catene di comunicazione che attraversano più host intermedi prima di raggiungere l’infrastruttura finale. In questo modo le operazioni risultano estremamente difficili da attribuire e tracciare. L’utilizzo di repository pubblici come piattaforma di staging rappresenta ormai una strategia consolidata nei gruppi APT moderni perché sfrutta la fiducia implicita verso servizi cloud legittimi molto diffusi negli ambienti di sviluppo software.

WormFrp e SoftEther VPN coprono le tracce delle intrusioni

Per mantenere persistenza e anonimato operativo, Webworm utilizza una combinazione di proxy stealth e VPN custom. Uno degli strumenti principali è WormFrp, un componente che recupera configurazioni operative da bucket Amazon S3 compromessi. A questo si aggiungono tool come ChainWorm, SmuxProxy e WormSocket, utilizzati per concatenare più livelli proxy e instradare il traffico attraverso sistemi intermedi compromessi. L’uso ricorrente di SoftEther VPN rappresenta invece un tratto comune a numerosi gruppi cinesi di cyber-spionaggio. SoftEther permette di fondersi con traffico VPN legittimo e offre protocolli multipli difficili da filtrare senza impattare le comunicazioni aziendali. Queste catene proxy trasformano ogni endpoint compromesso in un potenziale ponte per movimenti laterali interni ed esterni. L’infrastruttura risultante permette agli operatori di mascherare l’origine reale delle connessioni, aumentare la resilienza operativa e ridurre l’esposizione diretta dei server di comando e controllo principali.

BadIIS evolve in un ecosistema Malware-as-a-Service globale

Parallelamente alle operazioni di Webworm, Cisco Talos ha tracciato l’evoluzione del malware BadIIS come vero ecosistema Malware-as-a-Service gestito dall’autore identificato come “lwxat”. Lo sviluppo del framework parte almeno dal 30 settembre 2021 e continua fino al 6 gennaio 2026 con build costanti e funzionalità sempre più avanzate. BadIIS viene installato direttamente come modulo di Internet Information Services trasformando server Windows legittimi in strumenti per frodi SEO, reverse proxy, hijacking di contenuti e reindirizzamento traffico. Il builder principale consente ai clienti MaaS di generare payload personalizzati sia a 32 che a 64 bit tramite file config.txt modificabili. Durante l’autenticazione verso il server C2 il malware verifica la presenza della stringa “lwxat” e utilizza offuscamento XOR a singolo byte per proteggere indirizzi e parametri operativi. Il modello MaaS permette a gruppi differenti di acquistare versioni customizzate del malware adattandole a campagne specifiche contro siti governativi, piattaforme SEO e infrastrutture web pubbliche.

Le stringhe PDB mostrano anni di sviluppo continuo di BadIIS

Uno degli elementi più interessanti emersi dall’analisi di Cisco Talos riguarda le stringhe PDB presenti nei binari del malware. Percorsi come C:\Users\Administrator\Desktop\2021-09-30\x64\Release\demo.pdb consentono di ricostruire l’evoluzione cronologica delle build utilizzate dagli operatori. Le directory individuate includono nomi come dll0217, 2024-05-05-tcp e 2025-11-21, spesso accompagnati da annotazioni che descrivono bypass antivirus o funzionalità dedicate a clienti specifici. Una build personalizzata attribuita al cliente “xshen” implementava ad esempio hijacking globale basato sulla lingua del browser per reindirizzare automaticamente gli utenti verso contenuti differenti in base alla localizzazione geografica. Questa rapidità di iterazione dimostra un modello di sviluppo quasi commerciale nel quale l’autore aggiorna costantemente il malware per soddisfare richieste operative dei clienti MaaS. Le stringhe PDB rappresentano quindi non solo indicatori tecnici ma anche una rara finestra sulla struttura organizzativa interna del progetto BadIIS.

Builder e installer garantiscono persistenza sui server IIS

Il framework BadIIS include builder avanzati capaci di generare configurazioni personalizzate e DLL pronte per essere registrate direttamente nei server IIS compromessi. Gli installer impersonano servizi Windows legittimi come Winlogin o FaxService riducendo la probabilità di rilevamento da parte degli amministratori. Le versioni più recenti implementano un sistema a doppio stadio che copia i payload in directory primarie e secondarie, registra automaticamente il modulo IIS e ripristina il malware se viene rimosso durante le operazioni di pulizia.

Questo meccanismo garantisce una persistenza estremamente robusta anche dopo interventi manuali o scansioni antivirus. Gli operatori MaaS possono inoltre configurare il comportamento del malware scegliendo redirect SEO, reverse proxy o iniezione dinamica di backlink verso siti fraudolenti. In pratica il server IIS compromesso diventa una piattaforma monetizzabile utilizzata per manipolare risultati dei motori di ricerca e reindirizzare il traffico web verso contenuti illeciti.

Le campagne colpiscono infrastrutture critiche e piattaforme web pubbliche

Le operazioni di Webworm e BadIIS colpiscono settori altamente sensibili e infrastrutture pubbliche esposte su Internet. Le backdoor EchoCreep e GraphWorm permettono esfiltrazione silenziosa di documenti, credenziali cloud e informazioni strategiche da enti governativi, università e aziende tecnologiche. BadIIS, invece, agisce direttamente sui server web alterando contenuti, reindirizzando utenti e manipolando algoritmi SEO per generare profitti agli affiliati MaaS. Le campagne combinano malware custom e strumenti commodity riducendo i costi operativi e aumentando la portata degli attacchi. Le organizzazioni europee e asiatiche risultano particolarmente esposte perché utilizzano massicciamente servizi cloud Microsoft, GitHub e infrastrutture IIS nelle proprie reti enterprise. L’integrazione di servizi legittimi nelle catene di attacco rende inoltre estremamente complesso distinguere il traffico malevolo da quello quotidiano.

Living-off-the-land e cloud pubblico diventano la strategia dominante

Le due campagne mostrano chiaramente una strategia comune basata sul modello living-off-the-land. Invece di utilizzare infrastrutture dedicate facilmente identificabili, gli attaccanti sfruttano servizi cloud pubblici già presenti negli ambienti aziendali. Webworm utilizza Discord, Microsoft Graph API, GitHub, Amazon S3 e OneDrive mentre BadIIS sfrutta direttamente i server IIS delle vittime per monetizzare traffico web e campagne SEO fraudolente. Il modello Malware-as-a-Service abbassa ulteriormente la barriera di ingresso permettendo a gruppi minori di acquistare payload customizzati senza sviluppare internamente malware complessi. Gli operatori iterano rapidamente nuove build, bypass antivirus e funzionalità stealth adattandole alle richieste dei clienti. Questo approccio rende le campagne più flessibili, scalabili e difficili da attribuire rispetto ai tradizionali modelli APT centralizzati.

Le difese richiedono monitoraggio continuo di Graph API e server IIS

Le organizzazioni devono rafforzare il monitoraggio di servizi cloud e workflow enterprise considerati normalmente affidabili. Il traffico verso Discord, Microsoft Graph API, OneDrive e repository GitHub deve essere correlato a comportamenti anomali e accessi inattesi. Per gli ambienti IIS è essenziale verificare la presenza di moduli globali sconosciuti, controllare le stringhe PDB nei binari sospetti e monitorare modifiche persistenti nei servizi Windows. L’utilizzo di soluzioni EDR con rilevamento comportamentale può aiutare a identificare proxy come WormFrp, catene VPN anomale o installer che impersonano servizi legittimi. Le aziende devono inoltre revocare token OAuth sospetti, limitare i privilegi delle applicazioni cloud e controllare eventuali attività anomale verso domini di comando e controllo conosciuti. La crescente integrazione tra malware e servizi SaaS dimostra che la sicurezza enterprise moderna non può più limitarsi ai tradizionali indicatori di compromissione ma deve analizzare il comportamento reale delle comunicazioni cloud.