Webworm-Backdoors, EchoCreep

Webworm-Backdoors: EchoCreep und GraphWorm missbrauchen Discord

20.06.2026 - 11:28:10 | boerse-global.de

Neue Schadprogramme der Gruppe Webworm nutzen Discord und Microsoft Graph für verdeckte Angriffe auf Behörden und Firmen.

Webworm-Backdoors EchoCreep und GraphWorm: Cloud-Dienste als Einfallstor
Webworm-Backdoors - Eine dunkle Gestalt in einem Serverraum, die im Licht von Computerbildschirmen arbeitet, umgeben von digitalen Ranken, die Malware darstellen. 20.06.2026 - Bild: über boerse-global.de

Die Backdoors EchoCreep und GraphWorm missbrauchen legitime Cloud-Dienste für ihre Steuerung.

Discord und Microsoft Graph als Einfallstore

EchoCreep nutzt den Messaging-Dienst Discord für seine Command-and-Control-Kommunikation (C2). Seit Frühjahr 2024 registrierten Forscher über 400 Nachrichten in diesem Zusammenhang. Das Tool kann Befehle ausführen sowie Dateien auf infizierte Systeme hoch- und herunterladen.

Anzeige: Wer die neuen Webworm-Backdoors EchoCreep und GraphWorm im eigenen Netzwerk frühzeitig erkennen will, braucht konkrete Prüfpunkte – von Discord-C2-Verkehr bis zu Microsoft-Graph-Anomalien. Dieser Report liefert eine sofort umsetzbare Checkliste. Jetzt kostenlosen Report anfordern

GraphWorm setzt dagegen auf die Microsoft Graph API. Die Backdoor startet neue Sitzungen, führt Prozesse aus und interagiert direkt mit OneDrive. Durch die Nutzung offizieller Schnittstellen verschwindet der bösartige Datenverkehr im regulären Cloud-Traffic der Zielunternehmen.

Gezielte Angriffe auf Regierungen und Unternehmen

Die seit mindestens 2022 aktive Gruppe richtet sich vor allem gegen Behörden und Firmen in Europa, Südafrika und Asien. Betroffen sind die Sektoren Informationstechnik, Luftfahrt und Energie.

Für die Verteilung ihrer Werkzeuge nutzt Webworm ein GitHub-Repository, das als legitimer Fork von WordPress getarnt ist. Neben den maßgeschneiderten Backdoors kommen Open-Source-Tools wie dirsearch und nuclei sowie eigene Programme wie WormFrp, ChainWorm und SmuxProxy zum Einsatz.

Personelle Überschneidungen mit anderen Gruppen

Analysten sehen Verbindungen zu den Akteuren FishMonger, SixLittleMonkeys und Space Pirates. Während Webworm früher auf Trojaner wie Trochilus, Gh0st oder 9002 setzte, deuten EchoCreep und GraphWorm auf eine Abkehr von diesen älteren Werkzeugen hin.

Die Experten beobachten zudem einen Trend zu „Malware-as-a-Service“-Modellen (MaaS). Die Gruppe geht methodisch vor: Sie nutzt Brute-Force-Verfahren und Schwachstellen-Scanner, um potenzielle Ziele zu identifizieren.

Anzeige: Malware-as-a-Service und Cloud-getarnte C2-Kanäle erhöhen den Druck auf IT-Sicherheitsteams. Bevor Ihre Konkurrenz die nächste Lücke ausnutzt, sichern Sie sich die 5 wichtigsten Indikatoren für Webworm-Infektionen – inklusive Segmentierungs-Anleitung. Webworm-Indikatoren-Report jetzt sichern

Weitere Bedrohungen für die digitale Infrastruktur

Parallel zu Webworms Aktivitäten meldeten Sicherheitsforscher einen Supply-Chain-Angriff auf Premium-WordPress-Plugins. In der Datei LicenseLoader.php entdeckten sie eine Backdoor, die auf Administrator-Zugangsdaten abzielt.

Zudem verbreitet sich seit Jahresbeginn eine Schadsoftware über USB-Laufwerke. Sie ist darauf spezialisiert, Kryptowährungs-Wallets durch Manipulation der Zwischenablage zu kompromittieren. Die Entwicklungen zeigen: Die Bedrohungslage für professionelle IT-Umgebungen bleibt hoch.

de | wissenschaft | 69589025 |