Webworm hackea gobiernos UE vía Discord y Microsoft Graph

Qué pasa

Webworm, un APT (grupo de hackers patrocinado por un Estado, en este caso China), ha comprometido organismos gubernamentales de la Unión Europea usando una táctica cada vez más extendida: esconder su canal C2 (servidor que controla los sistemas infectados) dentro de servicios legítimos de confianza.

El grupo usó Discord y la API de Microsoft Graph como canal de mando. En la práctica: los implantes en los sistemas víctima se comunican con canales de Discord o buzones de OneDrive controlados por el atacante, en lugar de conectar a infraestructura propia fácil de bloquear.

Para enrutar el tráfico y ocultar el origen real de las conexiones, Webworm desplegó SoftEther VPN como *SOCKS proxy* (proxy que actúa de intermediario entre el atacante y la víctima, enrutando el tráfico a través de sistemas comprometidos para disimular la fuente).

El vector de entrada inicial no se ha detallado públicamente, pero las TTPs (tácticas, técnicas y procedimientos del atacante) observadas encajan con campañas previas del mismo grupo contra objetivos gubernamentales y de defensa en Asia y Europa.

Por qué importa

El patrón de usar servicios cloud de confianza como canal C2 no es nuevo, pero su adopción está acelerando. Discord, Slack, Microsoft Graph, Telegram y similares tienen varios problemas desde el punto de vista defensivo:

• El tráfico HTTPS hacia `graph.microsoft.com` o `discord.com` rara vez se bloquea en firewalls corporativos.
• Los IOC (huellas técnicas que delatan el ataque) clásicos basados en IPs o dominios maliciosos no funcionan cuando el C2 está alojado en infraestructura de Microsoft o Discord.
• Las reglas de detección basadas en reputación de dominio quedan ciegas.

El uso de SoftEther VPN como SOCKS proxy añade otra capa: el análisis de red ve conexiones salientes legítimas desde el host comprometido, sin patrones de tráfico extraños.

Esto convierte a Webworm en un actor con capacidades de evasión maduras, no un grupo oportunista.

Qué hacer

• Mapear y restringir qué hosts en tu red tienen acceso legítimo a `graph.microsoft.com` y `discord.com`. Servidores de producción, hosts de infraestructura crítica y endpoints no interactivos no deberían conectarse a Discord.
• Habilitar logging granular de Microsoft Graph API en tu tenant de Azure (Unified Audit Log + Entra ID sign-in logs). Busca aplicaciones registradas con permisos Mail.Read o Files.ReadWrite que no reconozcas.
• Cazar conexiones salientes hacia SoftEther o puertos no estándar asociados a túneles VPN desde hosts internos que no son dispositivos de usuario.
• Revisar IOC publicados por Dark Reading y fuentes como MISP o AlienVault OTX para los indicadores específicos de esta campaña.
• En entornos de alta criticidad, plantear zero-trust egress: todo tráfico saliente no clasificado explícitamente se deniega por defecto.

La combinación Discord + Graph API como C2 no va a desaparecer — es demasiado efectiva. Si no tienes visibilidad sobre el tráfico hacia servicios cloud de terceros desde tu infraestructura, es probable que ya no la tengas cuando la necesites.