كشف باحثون في الأمن السيبراني عن نشاط متجدد لمجموعة التهديد الصينية المعروفة باسم Webworm، حيث نشرت في عام 2025 برمجيات خلفية (Backdoors) جديدة تحمل أسماء EchoCreep وGraphWorm، مستخدمةً منصات شائعة مثل Discord وواجهة Microsoft Graph API كقنوات للتحكم والسيطرة (C2). هذا التحول يعكس استراتيجية متقدمة في إخفاء الأنشطة الخبيثة عبر أدوات تبدو مشروعة، ويؤكد استمرار المجموعة في تطوير أدواتها منذ رصدها لأول مرة عام 2022.
خلفية المجموعة وأهدافها
ظهرت Webworm إلى العلن عبر تقرير لشركة Symantec في سبتمبر 2022، حيث استهدفت مؤسسات حكومية وقطاعات حيوية مثل خدمات تكنولوجيا المعلومات، الطيران، والطاقة الكهربائية في روسيا، جورجيا، منغوليا، وعدة دول آسيوية أخرى.
المجموعة استخدمت سابقاً أدوات وصول عن بعد مثل Trochilus RAT وGh0st RAT و9002 RAT، وهي أدوات شائعة بين مجموعات صينية أخرى مثل FishMonger وSixLittleMonkeys وSpace Pirates. لكن مع مرور الوقت، اتجهت Webworm نحو تطوير أدوات وكيلة أكثر تخفياً مثل البروكسيات المخصصة، لتجنب الرصد المباشر.
EchoCreep وGraphWorm: جيل جديد من البرمجيات الخلفية
في عام 2025، أضافت Webworm برمجيتين جديدتين إلى ترسانتها:
- EchoCreep: يعتمد على Discord كمنصة للتحكم والسيطرة، ويدعم رفع وتنزيل الملفات وتنفيذ الأوامر عبر “cmd.exe”. وقد تم رصد أكثر من 433 رسالة تحكم أُرسلت إلى أكثر من 50 هدفاً منذ مارس 2024.
- GraphWorm: أكثر تقدماً، إذ يستخدم واجهة Microsoft Graph API، ويتيح إنشاء جلسات جديدة لـ “cmd.exe”، وتنفيذ عمليات، ورفع وتنزيل الملفات عبر OneDrive، إضافة إلى القدرة على إيقاف نفسه عند تلقي إشارة من المهاجمين.
هذا الاستخدام لمنصات شائعة مثل Discord وMicrosoft Graph يعكس محاولة متعمدة للاندماج في حركة الشبكة الطبيعية، مما يصعّب على أنظمة الدفاع اكتشاف الأنشطة الخبيثة.
أدوات مرافقة وتقنيات التخفي
اعتمدت Webworm على مستودع مزيف في GitHub يتظاهر بأنه نسخة من WordPress، ليكون منصة لتخزين البرمجيات الخبيثة وأدوات مثل SoftEther VPN، وهي تقنية شائعة بين مجموعات القرصنة الصينية لإخفاء الاتصالات.
كما طورت المجموعة أدوات بروكسي مخصصة مثل WormFrp وChainWorm وSmuxProxy وWormSocket، قادرة على تشفير الاتصالات وربط عدة مضيفين داخلياً وخارجياً، ما يمنحها قدرة عالية على التخفي.
اللافت أن WormFrp يستمد إعداداته من حاوية Amazon S3 مخترقة، ما يعكس استخدام موارد سحابية مشروعة كغطاء للأنشطة غير المشروعة.
انتشار الهجمات وتداعياتها
خلال العامين الماضيين، توسعت Webworm في استهداف دول أوروبية مثل بلجيكا وإيطاليا وصربيا وبولندا وإسبانيا، إضافة إلى جامعة محلية في جنوب أفريقيا. هذا التوسع الجغرافي يعكس انتقال المجموعة من التركيز على آسيا الوسطى إلى أوروبا وأفريقيا، ما يرفع مستوى التهديد العالمي.
كما استخدمت المجموعة أدوات مفتوحة المصدر مثل dirsearch وnuclei لاختبار ثغرات خوادم الويب، ما يشير إلى اعتمادها على تقنيات متاحة للجميع لكنها تُوظف بطرق هجومية متقدمة.
مشهد أوسع: برمجيات خبيثة كخدمة
يتزامن الكشف عن EchoCreep وGraphWorm مع تقارير من Cisco Talos حول نسخة جديدة من برمجية BadIIS، يُعتقد أنها تُباع أو تُشارك بين مجموعات صينية ضمن نموذج “البرمجيات الخبيثة كخدمة” (MaaS). هذا النموذج يتيح للمهاجمين توليد ملفات إعداد وتخصيص الحمولة الخبيثة بسهولة، بما يشمل إعادة توجيه حركة المرور، التحايل على محركات البحث، وحقن روابط خلفية لأغراض الاحتيال في تحسين محركات البحث (SEO).
هذا الاتجاه يعكس تحولاً خطيراً في مشهد التهديدات، حيث لم تعد البرمجيات الخبيثة مجرد أدوات فردية، بل خدمات متكاملة تُباع وتُدار مثل أي منتج تقني مشروع.
