BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
BBLabs NewsBBLabs News

BBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad. Una historia al día sobre CVEs críticos, brechas, bug bounty e IA. Filtrado por IA, escrito para humanos.

Producto

  • Hemeroteca
  • Ediciones
  • Temas
  • Glosario
  • RSS
  • Atom
  • JSON Feed

Editorial

  • Acerca de
  • Suscribirse
  • Cuenta
  • English

Legal

  • Privacidad
  • Términos
  • Contacto: team@bblabs.es

Conectar

  • YouTube · @0xGorka
  • Instagram · @bblabs.es
  • Discord BBLabs
  • Discord Bug Bounty ES
31 artículos·10 ediciones·Desde 2026·Hecho en España
© 2026 BBLabs News·Por Gorka El Bochi
BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
Webworm hackea gobiernos UE vía Discord y Microsoft Graph
Volver al inicioCiberataques

Webworm hackea gobiernos UE vía Discord y Microsoft Graph

Webworm, APT chino, compromete gobiernos europeos usando Discord y la API de Microsoft Graph como canal de mando encubierto.

  1. Inicio
  2. ›
  3. Ciberataques
  4. ›
  5. Webworm hackea gobiernos UE vía Discord y Microsoft Graph
por Gorka El Bochi Morillo
·
2 min lectura
·26 de mayo, 2026

Qué pasa

Webworm, un APT (grupo de hackers patrocinado por un Estado, en este caso China), ha comprometido organismos gubernamentales de la Unión Europea usando una táctica cada vez más extendida: esconder su canal C2 (servidor que controla los sistemas infectados) dentro de servicios legítimos de confianza.

El grupo usó Discord y la API de Microsoft Graph como canal de mando. En la práctica: los implantes en los sistemas víctima se comunican con canales de Discord o buzones de OneDrive controlados por el atacante, en lugar de conectar a infraestructura propia fácil de bloquear.

Para enrutar el tráfico y ocultar el origen real de las conexiones, Webworm desplegó SoftEther VPN como *SOCKS proxy* (proxy que actúa de intermediario entre el atacante y la víctima, enrutando el tráfico a través de sistemas comprometidos para disimular la fuente).

El vector de entrada inicial no se ha detallado públicamente, pero las TTPs (tácticas, técnicas y procedimientos del atacante) observadas encajan con campañas previas del mismo grupo contra objetivos gubernamentales y de defensa en Asia y Europa.

Por qué importa

El patrón de usar servicios cloud de confianza como canal C2 no es nuevo, pero su adopción está acelerando. Discord, Slack, Microsoft Graph, Telegram y similares tienen varios problemas desde el punto de vista defensivo:

  • El tráfico HTTPS hacia `graph.microsoft.com` o `discord.com` rara vez se bloquea en firewalls corporativos.
  • Los IOC (huellas técnicas que delatan el ataque) clásicos basados en IPs o dominios maliciosos no funcionan cuando el C2 está alojado en infraestructura de Microsoft o Discord.
  • Las reglas de detección basadas en reputación de dominio quedan ciegas.

El uso de SoftEther VPN como SOCKS proxy añade otra capa: el análisis de red ve conexiones salientes legítimas desde el host comprometido, sin patrones de tráfico extraños.

Esto convierte a Webworm en un actor con capacidades de evasión maduras, no un grupo oportunista.

Qué hacer

  • Mapear y restringir qué hosts en tu red tienen acceso legítimo a `graph.microsoft.com` y `discord.com`. Servidores de producción, hosts de infraestructura crítica y endpoints no interactivos no deberían conectarse a Discord.
  • Habilitar logging granular de Microsoft Graph API en tu tenant de Azure (Unified Audit Log + Entra ID sign-in logs). Busca aplicaciones registradas con permisos Mail.Read o Files.ReadWrite que no reconozcas.
  • Cazar conexiones salientes hacia SoftEther o puertos no estándar asociados a túneles VPN desde hosts internos que no son dispositivos de usuario.
  • Revisar IOC publicados por Dark Reading y fuentes como MISP o AlienVault OTX para los indicadores específicos de esta campaña.
  • En entornos de alta criticidad, plantear zero-trust egress: todo tráfico saliente no clasificado explícitamente se deniega por defecto.

La combinación Discord + Graph API como C2 no va a desaparecer — es demasiado efectiva. Si no tienes visibilidad sobre el tráfico hacia servicios cloud de terceros desde tu infraestructura, es probable que ya no la tengas cuando la necesites.

Qué hacer

  • Restringir el acceso a Discord y Microsoft Graph API solo a los hosts que lo necesiten explícitamente.
  • Habilitar el Unified Audit Log en Azure y buscar apps registradas con permisos Graph sospechosos.
  • Cazar tráfico de SoftEther VPN o túneles SOCKS desde hosts de infraestructura crítica.

Comparte esta noticia

Ayuda a que más gente descubra BBLabs News.

Webworm hackea gobiernos UE vía Discord y Microsoft Graph
VerticalDescargar imagen
LinkedInXWhatsApp

¿Te interesa Ciberataques?

Suscríbete a esta rama y recibe lo más relevante cada día — sin spam, sin ruido.

Suscribirme

Artículos relacionados

Destacado
Ciberataques4 jun 2026·2 min

Megalodon infecta 5.500 repos de GitHub en 6 horas

Megalodon comprometió más de 5.500 repositorios de GitHub en 6 horas robando credenciales y secrets de desarrolladores.

  • Auditar commits recientes en repos de GitHub para detectar cambios no autorizados
  • Rotar todos los tokens y API keys con acceso de escritura inmediatamente
  • Activar GitHub secret scanning con push protection en tu organización
Gorka El Bochi Morillo
Leer artículo
Ciberataques3 jun 2026·2 min

JINX-0164: malware macOS vía falsas ofertas de trabajo crypto

JINX-0164 usa ofertas de trabajo falsas para instalar malware custom en macOS y robar fondos de empresas crypto.

Leer artículo
Ciberataques1 jun 2026·2 min

Detenidos en Países Bajos los admins de hosting para hackers rusos

Países Bajos detiene a dos administradores de un servicio de bulletproof hosting (infraestructura que ignora órdenes legales de baja) usado por grupos alineados con Rusia.

Leer artículo

¿Quieres recibir noticias así cada día?

Ver todos los artículos
BBLabs NewsBBLabs News

BBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad. Una historia al día sobre CVEs críticos, brechas, bug bounty e IA. Filtrado por IA, escrito para humanos.

Producto

  • Hemeroteca
  • Ediciones
  • Temas
  • Glosario
  • RSS
  • Atom
  • JSON Feed

Editorial

  • Acerca de
  • Suscribirse
  • Cuenta
  • English

Legal

  • Privacidad
  • Términos
  • Contacto: team@bblabs.es

Conectar

  • YouTube · @0xGorka
  • Instagram · @bblabs.es
  • Discord BBLabs
  • Discord Bug Bounty ES
31 artículos·10 ediciones·Desde 2026·Hecho en España
© 2026 BBLabs News·Por Gorka El Bochi