China-nahe Hacker verstecken Angriffe auf europäische Behörden in Discord und OneDrive

Jena - Sicherheitsforscher von ESET haben neue Angriffstechniken der China-nahen APT-Gruppe "Webworm" ( https://www.welivesecurity.com/de/eset-research/hacker-gruppe-webwurm-nutzt-neue-wuhltechniken ) aufgedeckt, die zuletzt verstärkt Regierungsorganisationen in Europa ins Visier genommen hat. Die Angreifer missbrauchten dabei unter anderem Discord, Microsoft OneDrive und GitHub, um Schadsoftware zu steuern, Daten abzuziehen und ihre Kommunikation innerhalb legitimer Plattformen zu verstecken.

Betroffen waren Regierungsorganisationen in Belgien, Italien, Polen, Serbien und Spanien. Darüber hinaus kompromittierte die Gruppe offenbar auch eine Universität in Südafrika. Im Zuge der Analyse entschlüsselten die Forscher mehr als 400 Discord-Nachrichten der Angreifer und identifizierten Server, die zur Aufklärung gegen mehr als 50 potenzielle Ziele eingesetzt wurden.

"Wir beobachten zunehmend, dass Angreifer ihre Infrastruktur hinter bekannten Cloud- und Kommunikationsdiensten verstecken", erklärt ESET-Forscher Eric Howard, der die aktuellen Aktivitäten von Webworm untersucht hat. "Dadurch wird es für Unternehmen und Behörden deutlich schwieriger, schädliche Aktivitäten im normalen Netzwerkverkehr zu erkennen."

Angriffe verstecken sich in legitimen Cloud-Diensten

Webworm setzt verstärkt auf Dienste und Plattformen, die in Unternehmen und Behörden alltäglich genutzt werden. Statt klassischer Malware-Server nutzten die Angreifer unter anderem Discord für die Kommunikation mit kompromittierten Systemen sowie Microsoft OneDrive und die Microsoft Graph API zur Steuerung ihrer Schadsoftware.

Im Zentrum der aktuellen Kampagne stehen zwei neue Werkzeuge: die Discord-basierte Backdoor "EchoCreep" sowie "GraphWorm", das über Microsoft-Cloud-Dienste kommuniziert. EchoCreep nutzte Discord unter anderem zum Hochladen von Dateien, zur Übermittlung von Befehlen und zum Versand von Statusmeldungen kompromittierter Systeme. GraphWorm wiederum legte für jedes Opfer eigene Verzeichnisse innerhalb von OneDrive an, um Daten auszutauschen und neue Befehle abzurufen.

"Die Gruppe versteckt ihre Aktivitäten gezielt innerhalb legitimer Cloud-Dienste", so Howard. "Das erschwert nicht nur die Erkennung, sondern hilft den Angreifern auch dabei, sich langfristig in kompromittierten Netzwerken zu bewegen."

Versteckte Proxy-Netzwerke und missbrauchte Cloud-Infrastruktur

Neben Discord und OneDrive beobachteten die ESET-Forscher auch den Einsatz mehrerer individuell entwickelter Proxy-Werkzeuge. Diese dienten offenbar dazu, versteckte Kommunikationswege aufzubauen und die tatsächliche Infrastruktur der Angreifer zu verschleiern. Nach Einschätzung der Analysten baut Webworm damit ein komplexes Netzwerk aus Proxy- und Tunnelverbindungen auf, das sich über kompromittierte Systeme und Cloud-Dienste erstreckt. Besonders kritisch bewerten die Forscher dabei den Missbrauch von Cloud-Speichern. So nutzte die Gruppe einen manipulierten AWS-S3-Bucket, um Konfigurationsdaten abzurufen und Daten aus betroffenen Netzwerken abzuziehen.

"Offenbar konnten die Angreifer kompromittierte Cloud-Speicher nicht nur für ihre Kommunikation nutzen, sondern auch für Datenexfiltration", erklärt Howard. "Die betroffenen Organisationen trugen dabei unbemerkt sogar die Infrastrukturkosten der Angreifer." Zwischen Dezember 2025 und Januar 2026 luden die Betreiber mindestens 20 Dateien in den kompromittierten Speicher hoch. Zwei davon stammten offenbar aus einer staatlichen Einrichtung in Spanien.

Fokus der Gruppe verlagert sich nach Europa

Webworm wird seit mehreren Jahren mit China-nahen Aktivitäten in Verbindung gebracht. Während die Gruppe früher vor allem Ziele in Asien attackierte, beobachten die ESET-Forscher seit 2024 eine deutliche Verlagerung des Fokus nach Europa. Die aktuellen Kampagnen richteten vor allem gegen Regierungsorganisationen und öffentliche Einrichtungen. Gleichzeitig entwickelt die Gruppe ihre Werkzeuge und Taktiken kontinuierlich weiter. Statt klassischer Remote-Access-Trojaner setzt Webworm inzwischen verstärkt auf legitime Dienste, Proxy-Netzwerke und individuell angepasste Werkzeuge, die deutlich schwerer zu erkennen sind.

GitHub-Repositories als Malware-Verteiler

Darüber hinaus nutzte die Gruppe GitHub-Repositories, um Schadsoftware und weitere Werkzeuge bereitzustellen. In einem Fall tarnte sich ein Repository sogar als legitimer WordPress-Fork, um möglichst unauffällig zu wirken. Im Rahmen ihrer Analyse identifizierten die ESET-Forscher außerdem Hinweise darauf, dass Webworm Open-Source-Tools zur Schwachstellensuche und Webserver-Aufklärung einsetzt. Zudem fanden die Analysten Hinweise auf den möglichen Einsatz öffentlich verfügbarer Exploits gegen Webmail-Systeme. ESET geht davon aus, dass Webworm künftig verstärkt auf Cloud-Plattformen, Kommunikationsdienste und neue Tarntechniken setzen wird, um Sicherheitsmechanismen zu umgehen und Angriffe schwerer erkennbar zu machen.

Weitere technische Details zu den aktuellen Aktivitäten von Webworm veröffentlicht ESET Research auf WeLiveSecurity ( https://www.welivesecurity.com/de/eset-research/hacker-gruppe-webwurm-nutzt-neue-wuhltechniken ).

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Michael Klatte Tel.: +49 3641 3114 257 E-Mail: michael.klatte@eset.de Website: www.eset.de