مجموعة Webworm كتنشر أبواب خلفية EchoCreep و GraphWorm باستعمال Discord و Microsoft Graph API فعمليات التحكم والسيطرة

Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API

21 مايو 2026

مجموعة Webworm كتنشر أبواب خلفية EchoCreep و GraphWorm باستعمال Discord و Microsoft Graph API فعمليات التحكم والسيطرة

خلاصة (TL;DR) — مجموعة Webworm، وهي فاعل تهديد (threat actor) موالي للصين وكيتعتاقد باللي ناشط على الأقل من 2022، نشرات جوج ديال الأبواب الخلفية (backdoors) جديدة ومطورة فهاد 2025: الأول هو EchoCreep لي كيدوز الأوامر عبر Discord، والثاني هو GraphWorm لي كيستعمل Microsoft Graph API و Microsoft OneDrive باش يحضّر ويهز الملفات. المجموعة غاديا وكتوجه لخدمات شرعية (legitimate) وأدوات proxy باش تهرب من الرصد، وفنفس الوقت كتوسع العمليات ديالها باش تستهدف ضحايا فأوروبا.

شنو واقع

باحثين أمنيين فـ ESET وثقو نشاط جديد من مجموعة Webworm كتنشر فيه جوج ديال الأبواب الخلفية (backdoors) لي ماكانوش معروفين من قبل، هادشي بالموازاة مع التوجه ديالهم باش يستعملو خدمات سحابية شرعية وأدوات مفتوحة المصدر للاستطلاع (reconnaissance) والتحرك الجانبي (lateral movement).

مجموعة Webworm توثقات لأول مرة للعموم من طرف Symantec فشهر شتنبر 2022، وكاين تقييم باللي راهم ناشطين على الأقل من 2022. هاد المجموعة كتستهدف وكالات حكومية وشركات فمجالات خدمات تكنولوجيا المعلومات (IT)، الفضاء، وقطاع الطاقة الكهربائية فكل من روسيا، جورجيا، منغوليا وعدة دول آسيوية أخرى. تاريخيا، هاد المجموعة استعملات برمجيات اختراق عن بعد بحال Trochilus RAT، Gh0st RAT، و 9002 RAT (المعروف حتى بـ Hydraq و McRat).

فـ 2025، زادات Webworm برمجيات EchoCreep و GraphWorm للترسانة ديالها. EchoCreep كيستعمل Discord فالاتصالات ديال التحكم والسيطرة (C2) وكيدعم الرفع والتنزيل ديال الملفات وتنفيذ الأوامر عبر cmd.exe. التحليل ديال قناة Discord لي كيستعملها EchoCreep كيبين باللي أول الأوامر تصيفطات نهار 21 مارس 2024؛ وبمجموع 433 رسالة Discord تصيفطات عبر خادم C2. أما GraphWorm فهو باب خلفي (backdoor) متطور كثر، كيقدر يفتح جلسات cmd.exe، ينفذ عمليات (processes)، ويرفع أو ينزل ملفات من وإلى Microsoft OneDrive؛ وكيقدر حتى يوقف التنفيذ ديال راسو ملي كيتوصل بإشارة من المتحكم (operator).

هاد المجموعة كتهوستي البرمجيات الخبيثة والأدوات فمستودع GitHub منتحل صفة fork ديال WordPress فـ github[.]com/anjsdgasdf/WordPress، وكتستعملو كمحطة باش تنزل حمولة (payload) بحال SoftEther VPN. وكدلك نشرات أدوات proxy ديالها مصممة خصيصا مسمية WormFrp، ChainWorm، SmuxProxy، و WormSocket. أداة WormFrp كتجبد الإعدادات (configurations) من Amazon S3 bucket مخترقة. هاد الأدوات ديال proxy كيشيفريو (encrypt) الاتصالات وكيدعمو الربط (chaining) بين أجهزة متعددة (hosts) داخلية وخارجية فالشبكة.

فهاد العامين لي فاتو، Webworm بدلات التركيز ديالها وبعدات على الأبواب الخلفية التقليدية نحو برامج وخدمات شرعية بحال SOCKS proxies. المجموعة غاديا وكتستهدف دول أوروبية أكثر فأكثر، من بينها منظمات حكومية فبلجيكا، إيطاليا، صربيا، بولندا وإسبانيا، إضافة لجامعة فجنوب إفريقيا.

بالنسبة لعملية الاختراق الأولى والاستطلاع، كتستعمل Webworm أدوات مفتوحة المصدر بحال dirsearch و nuclei باش تدير هجمات القوة العمياء (brute-force) على ملفات ومجلدات خوادم الويب وتقلب على أي ثغرة.

مسار الوصول الأولي (initial access) وطريقة التوصيل ديال EchoCreep و GraphWorm باقين مجهولين لحد الساعة.

علاش هادشي مهم

استعمال Discord و Microsoft Graph API فعمليات التحكم والسيطرة (C2) كيبين تطور كبير فالأمن التشغيلي (operational security) ديال Webworm. هاد جوج خدمات كيتستعملو بزاف، كيعطيو مرور (traffic) كيبان عادي ومقبول، وغالبا كيكونو فلوائح السماح (whitelists) ديال الشبكات، وهادشي كيخلي الرصد ديالهم صعيب بزاف مقارنة بالبنية التحتية التقليدية ديال الـ C2. الاعتماد على OneDrive باش ينزلو الملفات كيسمح للمجموعة تستغل البنية التحتية ديال Microsoft باش تضمن البقاء (persistence) فالأنظمة والتسريب (exfiltration) ديال البيانات.

التوجه للخدمات الشرعية والأدوات المفتوحة المصدر كيعكس توجه عام كيكبر فعمليات الاختراق المدعومة من الصين: النقصان من الاعتماد على البرمجيات الخبيثة الصرفة لي كيكون ساهل التعرف عليها وتبلوكايها، والاعتماد فبلاصتها على أدوات وخدمات لي صعيب على المدافعين يفرقو بينها وبين الأنشطة الإدارية العادية فالشبكة.

بالنسبة لفرق الحماية فالقطاعات الحكومية والبنية التحتية الحساسة — خصوصا فأوروبا، روسيا، وآسيا الوسطى — هاد التوسع الجغرافي والوتيرة ديال عمليات Webworm كيمثلو خطر زايد. الاستعمال ديال المجموعة لمنصات تطوير شائعة (بحال GitHub) وخدمات VPN معروفة باش يوجدو حمولة (payloads) كيعني باللي القواعد التقليدية للرصد فالشبكات تقدر ماتكونش فعالة وغادي تدوز.

الأنظمة المتأثرة والـ CVEs

ماتعينات حتى CVE فوقت نشر هاد التقرير.

المنتجات والخدمات لي كتستغلها Webworm:

Discord (قناة C2)
Microsoft Graph API (اتصالات C2)
Microsoft OneDrive (هزان الملفات وتسريبها)
GitHub (تحضير البرمجيات الخبيثة والأدوات)
Amazon S3 (توصيل إعدادات أدوى proxy)
SoftEther VPN
خوادم IIS (أهداف للاستطلاع)
أدوات مفتوحة المصدر: dirsearch و nuclei

شنو خاص يدار

راقبو حركة مرور الشبكة باش تكتاشفو أي اتصالات مشبوهة مع Discord API، بالخصوص اتصالات WebSocket والأنماط ديال توصيل الرسائل لي كتشبه عمليات التحكم والسيطرة.
ديرو آليات للرصد ديال الأنماط الاستثنائية فاتصالات Microsoft Graph API وعمليات النقل فـ OneDrive لي مكتشبهش التصرفات العادية ديال المستخدمين، خصوصا الرفع ديال ملفات كبيرة أو مشفرة من حسابات النظام أو service principals.
راجعو سجلات الوصول (access logs) ديال GitHub باش تقلبو على طلبات غير عادية لمستودعات (repositories) كتنتحل صفة مشاريع شرعية، وقيدو عمليات الاستنساخ (clone) لي جايا من حسابات إدارية أو حسابات نظام.
حضيو مع التنفيذ ديال dirsearch و nuclei فالأجهزة الطرفية؛ هاد الأدوات قليل فاش كتكون موجدة فأنظمة قياسية والوجود ديالها كيعني باللي كاين نشاط استطلاع حي.
ديرو مسح للأجهزة الطرفية والملفات المشتركة فالشبكة (network shares) لتقليب على أدوات proxy الخاصة بالمجموعة: WormFrp، ChainWorm، SmuxProxy، و WormSocket.
ديرو افتحاص لإعدادات Amazon S3 buckets باش تأكدو باللي مافيهاش صلاحية قراءة عمومية (public read access)، وراجعو سجلات الوصول لأي عمليات تجباد غير مصرح بيها.
خدمو نظام مراقبة سلامة الملفات (FIM) فمجلدات خوادم الويب وديرو تنبيهات لأي تغييرات غير متوقعة.
راقبو إطلاق cmd.exe من حسابات الخدمة (service accounts) ولا من عمليات أب (parent processes) مشبوهة، خصوصا إلا كانت متزامنة مع عمليات على ملفات موجهة لـ OneDrive.

أسئلة باقا مطروحة

شنو هو المسار ديال الوصول الأولي (initial access vector) لي خلاهم ينشرو EchoCreep و GraphWorm؟
شنو هو النطاق الكامل ديال المنظمات المتأثرة والضحايا؟
واش WormFrp باقا ليومنا هادا كتجيب الإعدادات من داك الـ S3 bucket المخترق، ولا الاختراق وقع شحال هادي وتسد؟
شنو هي طبيعة التقاطع الحقيقية بين مجموعة Webworm ومجموعات FishMonger (معروفة بـ Aquatic Panda) و SixLittleMonkeys و Space Pirates؟ باحثين أمنيين فـ ESET صرحو باللي الروابط مع Space Pirates ضعيفة ومبنية أساسا على الاستعمال المشترك ديال برمجيات RAT مفتوحة المصدر.