An ninh mạng

Nhóm tin tặc Webworm nâng cấp kho vũ khí với hai backdoor EchoCreep và GraphWorm

Nhóm tin tặc Webworm đang thay đổi chiến thuật, chuyển sang sử dụng các backdoor tùy chỉnh như EchoCreep và GraphWorm, tận dụng Discord và Microsoft Graph API để duy trì kết nối C2 một cách tinh...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
2 0

Các chuyên gia an ninh mạng vừa phát hiện những hoạt động mới từ nhóm tin tặc Webworm (có liên hệ với Trung Quốc). Trong năm 2025, nhóm này đã triển khai các backdoor tùy chỉnh, tận dụng nền tảng Discord và Microsoft Graph API để thực hiện các lệnh điều khiển từ xa (C2).

Webworm được biết đến từ năm 2022, chuyên nhắm mục tiêu vào các cơ quan chính phủ và doanh nghiệp trong lĩnh vực dịch vụ CNTT, hàng không vũ trụ và năng lượng tại Nga, Georgia, Mông Cổ và nhiều quốc gia châu Á khác. Trước đây, nhóm này thường sử dụng các RAT (Remote Access Trojan) phổ biến như Trochilus, Gh0st và 9002. Tuy nhiên, theo ESET, Webworm đang chuyển dịch sang các công cụ proxy tùy chỉnh để tăng tính ẩn danh và tránh bị phát hiện.

Hai backdoor mới được ghi nhận bao gồm:

  • EchoCreep: Sử dụng Discord làm kênh giao tiếp C2, hỗ trợ tải lên/tải xuống tệp tin và thực thi lệnh thông qua cmd.exe. Dữ liệu cho thấy kênh Discord này đã được sử dụng từ tháng 3/2024 với hơn 400 tin nhắn gửi tới hơn 50 mục tiêu.
  • GraphWorm: Một backdoor nâng cao hơn, tận dụng Microsoft Graph API để tương tác với Microsoft OneDrive, cho phép thực thi tiến trình mới và quản lý tệp tin từ xa.

Để duy trì sự hiện diện, Webworm còn sử dụng các kho lưu trữ GitHub giả mạo (như một bản fork của WordPress) làm nơi lưu trữ malware và công cụ SoftEther VPN. Chiến thuật này giúp chúng hòa trộn vào lưu lượng truy cập hợp pháp. Ngoài ra, nhóm cũng tích cực sử dụng các công cụ mã nguồn mở như dirsearchnuclei để quét lỗ hổng và brute-force các thư mục trên server của nạn nhân.

Mặc dù có những đồn đoán về sự liên quan giữa Webworm và các nhóm như Space Pirates hay FishMonger, các nhà nghiên cứu từ ESET cho rằng các điểm tương đồng chủ yếu nằm ở việc sử dụng chung các công cụ RAT mã nguồn mở, vốn rất phổ biến trong giới tin tặc tại Trung Quốc, chứ không đủ bằng chứng để khẳng định sự hợp tác trực tiếp giữa các nhóm này.

Hiện tại, phương thức xâm nhập ban đầu (initial access) của Webworm vẫn chưa được xác định rõ ràng, nhưng sự thay đổi trong bộ công cụ cho thấy nhóm đang ngày càng tập trung vào các kỹ thuật tinh vi hơn để duy trì quyền kiểm soát trong mạng lưới mục tiêu tại châu Âu và châu Phi.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept