
Webworm, APT chino, compromete gobiernos europeos usando Discord y la API de Microsoft Graph como canal de mando encubierto.
Webworm, un APT (grupo de hackers patrocinado por un Estado, en este caso China), ha comprometido organismos gubernamentales de la Unión Europea usando una táctica cada vez más extendida: esconder su canal C2 (servidor que controla los sistemas infectados) dentro de servicios legítimos de confianza.
El grupo usó Discord y la API de Microsoft Graph como canal de mando. En la práctica: los implantes en los sistemas víctima se comunican con canales de Discord o buzones de OneDrive controlados por el atacante, en lugar de conectar a infraestructura propia fácil de bloquear.
Para enrutar el tráfico y ocultar el origen real de las conexiones, Webworm desplegó SoftEther VPN como *SOCKS proxy* (proxy que actúa de intermediario entre el atacante y la víctima, enrutando el tráfico a través de sistemas comprometidos para disimular la fuente).
El vector de entrada inicial no se ha detallado públicamente, pero las TTPs (tácticas, técnicas y procedimientos del atacante) observadas encajan con campañas previas del mismo grupo contra objetivos gubernamentales y de defensa en Asia y Europa.
El patrón de usar servicios cloud de confianza como canal C2 no es nuevo, pero su adopción está acelerando. Discord, Slack, Microsoft Graph, Telegram y similares tienen varios problemas desde el punto de vista defensivo:
El uso de SoftEther VPN como SOCKS proxy añade otra capa: el análisis de red ve conexiones salientes legítimas desde el host comprometido, sin patrones de tráfico extraños.
Esto convierte a Webworm en un actor con capacidades de evasión maduras, no un grupo oportunista.
La combinación Discord + Graph API como C2 no va a desaparecer — es demasiado efectiva. Si no tienes visibilidad sobre el tráfico hacia servicios cloud de terceros desde tu infraestructura, es probable que ya no la tengas cuando la necesites.
Ayuda a que más gente descubra BBLabs News.
¿Quieres recibir noticias así cada día?
Ver todos los artículos