Webworm Rilascia Nuove Backdoor EchoCreep e GraphWorm tramite Discord e Microsoft Graph API Attività Malintenzionata di Webworm Nel 2025, esperti di cybersecurity hanno rilevato un'intensa attività da parte di Webworm, un attore malevolo associato alla Cina, noto per l'impiego di…
Webworm Rilascia Nuove Backdoor EchoCreep e GraphWorm tramite Discord e Microsoft Graph API
Attività Malintenzionata di Webworm
Nel 2025, esperti di cybersecurity hanno rilevato un’intensa attività da parte di Webworm, un attore malevolo associato alla Cina, noto per l’impiego di backdoor personalizzate per le sue operazioni. Questi nuovi strumenti, denominati EchoCreep e GraphWorm, utilizzano Discord e Microsoft Graph API per le comunicazioni di comando e controllo, rendendo le operazioni di hacking ancora più sofisticate e insidiose.
Webworm è emerso pubblicamente nel settembre 2022 grazie alle ricerche condotte da Symantec, una compagnia di Broadcom. Si stima che questo gruppo, attivo fin dal 2022, abbia preso di mira vari settori, includendo agenzie governative e imprese nei campi dei servizi informatici, dell’aerospazio e dell’energia elettrica, con un focus particolare su nazioni come Russia, Georgia e Mongolia.
Approccio e Strumenti Tecnologici
L’attività di Webworm ha fatto uso di vari trojan per l’accesso remoto (RAT), quali Trochilus RAT, Gh0st RAT e 9002 RAT. Negli ultimi anni, il gruppo ha iniziato a integrarsi sempre più con strumenti di proxy esistenti e personalizzati, riducendo l’uso di backdoor tradizionali. Questo cambiamento strategico offre una maggiore furtività rispetto alle tecniche precedenti. Inoltre, Webworm ha recentemente ampliato le sue risorse con l’aggiunta di EchoCreep e GraphWorm, che sono progettati per sfruttare piattaforme comunemente utilizzate, come Discord, per comunicare con i server di comando.
Un elemento interessante nella strategia di questo gruppo è l’uso di un repository GitHub che finge di essere un fork di WordPress. Questa mossa consente di mascherare l’attività malevola e passare inosservati, utilizzando anche strumenti come SoftEther VPN, noti per la loro capacità di mimetizzarsi tra gli utenti legittimi.
Implicazioni per l’Italia e le Aziende Locali
Il panorama delle minacce informatiche sta cambiando, e le recenti scoperte evidenziano un forte interesse da parte di Webworm nei confronti di obiettivi in Europa, comprese istituzioni governative in paesi come l’Italia, il Belgio e la Spagna. Questo è motivo di preoccupazione, non solo per la sicurezza nazionale ma anche per la protezione delle aziende locali, molte delle quali operano in settori critici. L’adozione di tecniche avanzate da parte dei cybercriminali può mettere a rischio i dati sensibili e la reputazione delle aziende italiane, rendendo la necessità di soluzioni di cybersecurity sempre più urgente.
In particolare, strumenti come EchoCreep, che permette l’upload e il download di file, e GraphWorm, dotato di funzionalità avanzate, stanno trasformando il modo in cui i criminali informatici operano. Questi strumenti possono generare sessioni di comando ripetute e spegnere autonomamente le loro operazioni quando ricevono un particolare segnale, complicando ulteriormente le indagini della cybersecurity.
Conclusione: Agire per Proteggere le Aziende
La crescente sofisticazione degli attacchi informatici, come quelli perpetrati da Webworm, mette in evidenza l’importanza di una vigilanza costante nel panorama della sicurezza cibernetica. Le aziende italiane devono adottare misure preventive forti per proteggere le proprie risorse informatiche. Ciò include l’implementazione di sistemi di monitoraggio avanzati, la formazione del personale in materia di sicurezza e l’adozione di tecniche di crittografia per la comunicazione. Solo così sarà possibile ridurre i rischi e mitigare l’impatto delle attività malevole.
