Хакеры теперь координируют взломы в Discord. Китайские киберпреступники оценили удобство геймерского мессенджера
NewsMakerОбычная авторизация и привычные запросы превращаются в удобную ширму для наблюдения.
Китайская группировка Webworm, известная атаками на организации в Азии, сместила внимание на Европу и серьёзно обновила инструменты для взломов. Специалисты ESET выяснили , что хакеры начали использовать Discord и Microsoft Graph API для скрытого управления заражёнными системами, а также создали целый набор прокси-инструментов для маскировки активности.
Авторы отчёта связывают Webworm с другими китайскими APT-группами, включая SixLittleMonkeys и FishMonger. Если раньше злоумышленники полагались на известные трояны вроде McRat и Trochilus, то теперь сделали ставку на менее заметные средства. В 2025 году в арсенале появились два новых бэкдора. EchoCreep использует Discord как канал управления, а GraphWorm работает через Microsoft Graph API и OneDrive . Такой подход помогает скрывать вредоносный трафик среди легитимных облачных сервисов.
Во время расследования специалисты расшифровали более 400 сообщений из Discord , связанных с EchoCreep. Сообщения помогли выйти на GitHub-репозиторий, где Webworm размещала инструменты для загрузки на заражённые устройства. Среди файлов нашли конфигурации SoftEther VPN с IP-адресами, которые уже связывали с деятельностью группировки.
Среди целей Webworm в 2025 году оказались государственные организации Бельгии, Италии, Польши и Сербии, а также университет в ЮАР. Параллельно группировка использовала взломанный Amazon S3-бакет для хранения конфигураций, выгрузки похищенных данных и размещения инструментов для кражи учётных данных Windows. В числе обнаруженных файлов оказались схема инфраструктуры испанской госорганизации и настройки mRemoteNG для удалённого доступа.
Специалисты также нашли следы подготовки атак. Webworm активно применяла открытые инструменты dirsearch и nuclei для поиска уязвимостей на веб-серверах. В истории команд обнаружили попытки эксплуатации CVE-2017-7692 в почтовом клиенте SquirrelMail на одной из сербских целей.
Отдельное внимание в отчёте уделили сети прокси-инструментов WormFrp, ChainWorm, SmuxProxy и WormSocket. Они позволяют строить цепочки соединений через множество промежуточных узлов, затрудняя отслеживание атакующих. По данным ESET, инфраструктура Webworm размещалась на серверах Vultr и IT7 Networks, а сама группировка продолжает активно расширять набор инструментов и способы проникновения в сети жертв.
Таким образом, доверие к привычным облачным сервисам больше нельзя считать защитой само по себе. Всё чаще атаки используют облачные сервисы, легитимные API и сетевые утилиты, поэтому защитные системы должны оценивать не только вредоносные файлы, но и поведение внутри инфраструктуры.
Китайская группировка Webworm, известная атаками на организации в Азии, сместила внимание на Европу и серьёзно обновила инструменты для взломов. Специалисты ESET выяснили , что хакеры начали использовать Discord и Microsoft Graph API для скрытого управления заражёнными системами, а также создали целый набор прокси-инструментов для маскировки активности.
Авторы отчёта связывают Webworm с другими китайскими APT-группами, включая SixLittleMonkeys и FishMonger. Если раньше злоумышленники полагались на известные трояны вроде McRat и Trochilus, то теперь сделали ставку на менее заметные средства. В 2025 году в арсенале появились два новых бэкдора. EchoCreep использует Discord как канал управления, а GraphWorm работает через Microsoft Graph API и OneDrive . Такой подход помогает скрывать вредоносный трафик среди легитимных облачных сервисов.
Во время расследования специалисты расшифровали более 400 сообщений из Discord , связанных с EchoCreep. Сообщения помогли выйти на GitHub-репозиторий, где Webworm размещала инструменты для загрузки на заражённые устройства. Среди файлов нашли конфигурации SoftEther VPN с IP-адресами, которые уже связывали с деятельностью группировки.
Среди целей Webworm в 2025 году оказались государственные организации Бельгии, Италии, Польши и Сербии, а также университет в ЮАР. Параллельно группировка использовала взломанный Amazon S3-бакет для хранения конфигураций, выгрузки похищенных данных и размещения инструментов для кражи учётных данных Windows. В числе обнаруженных файлов оказались схема инфраструктуры испанской госорганизации и настройки mRemoteNG для удалённого доступа.
Специалисты также нашли следы подготовки атак. Webworm активно применяла открытые инструменты dirsearch и nuclei для поиска уязвимостей на веб-серверах. В истории команд обнаружили попытки эксплуатации CVE-2017-7692 в почтовом клиенте SquirrelMail на одной из сербских целей.
Отдельное внимание в отчёте уделили сети прокси-инструментов WormFrp, ChainWorm, SmuxProxy и WormSocket. Они позволяют строить цепочки соединений через множество промежуточных узлов, затрудняя отслеживание атакующих. По данным ESET, инфраструктура Webworm размещалась на серверах Vultr и IT7 Networks, а сама группировка продолжает активно расширять набор инструментов и способы проникновения в сети жертв.
Таким образом, доверие к привычным облачным сервисам больше нельзя считать защитой само по себе. Всё чаще атаки используют облачные сервисы, легитимные API и сетевые утилиты, поэтому защитные системы должны оценивать не только вредоносные файлы, но и поведение внутри инфраструктуры.