Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorporado puertas traseras que comunican con sus operadores a través de servicios legítimos como Discord y la API de Microsoft Graph, aprovechando así canales que a menudo pasan desapercibidos entre el tráfico empresarial normal.
Webworm no es una novedad; fue documentado públicamente por primera vez en 2022 y durante los últimos años ha atacado agencias gubernamentales y empresas en sectores críticos como servicios TI, aeroespacial y energía eléctrica en países de Asia y Europa. Lo que cambia ahora es la priorización de herramientas que imitan o reutilizan utilidades legítimas —SOCKS proxies, SoftEther VPN, y soluciones proxy propias— en lugar de depender exclusivamente de RATs tradicionales. Este enfoque tiene el objetivo evidente de elevar la sigilosidad y dificultar la atribución y la detección.
Dos nuevas piezas del arsenal descubiertas en 2025 ilustran esta tendencia: una backdoor que usa Discord como canal de mando y control —denominada EchoCreep— y otra que abusa de Microsoft Graph API —GraphWorm— con capacidades para ejecutar comandos, transferir archivos hacia y desde OneDrive y autodesactivarse según instrucciones del operador. La elección de estas plataformas no es casual: ambos servicios ofrecen APIs ricas, tráfico encriptado y una amplia base de usuarios que facilita la mezcla del tráfico malicioso con actividad legítima.
Además de las nuevas backdoors, Webworm sigue empleando una estrategia combinada que incluye el uso de repositorios en GitHub usados como señuelos o depósitos para herramientas y la explotación de utilidades open source (dirsearch, nuclei) para descubrir servidores web vulnerables. También se han identificado proxies personalizados que permiten encadenamiento entre hosts internos y externos, y la recuperación de configuraciones desde recursos de nube comprometidos, como buckets de Amazon S3. Todo ello apunta a una cadena de intrusión que prioriza persistencia discreta y movilidad lateral controlada.
Las implicaciones operativas para organizaciones y equipos de defensa son claras: las herramientas legítimas pueden volverse vectores de intrusión y las defensas tradicionales basadas en firmas de malware o en el bloqueo de dominios sospechosos pierden eficacia. Detectar este tipo de ataques exige telemetría más rica (logs de actividad de APIs en la nube, registros de aplicaciones OAuth, telemetría de endpoints y correlación de tráfico saliente) y reglas de detección centradas en comportamiento anómalo y uso indebido de servicios autorizados.
En la práctica conviene revisar configuraciones de identidad y acceso: auditar y restringir permisos de aplicaciones registradas en Azure/Office 365, aplicar políticas de consentimiento para aplicaciones OAuth, habilitar bloqueo de aplicaciones y dispositivos no gestionados, y monitorizar el uso de Microsoft Graph y OneDrive para patrones inusuales de subida/descarga. Microsoft ofrece documentación y guías sobre Graph que son útiles para entender los vectores que los atacantes abusan, y los desarrolladores y administradores deberían revisar esos puntos; más información técnica está disponible en la documentación oficial: Microsoft Graph.
En cuanto a Discord, aunque es una plataforma de comunicación orientada al consumidor, sus APIs y webhooks pueden ser reutilizadas como canal C2. Las organizaciones deben limitar la posibilidad de que procesos o usuarios automatizados interactúen con servicios externos de mensajería, vigilar tokens y credenciales expuestas y complementar con políticas de egress que restrinjan conexiones salientes innecesarias. La documentación para desarrolladores de Discord ayuda a comprender las capacidades que pueden ser explotadas: Discord Developer Documentation.
La aparición paralela de un modelo de malware ofrecido como servicio, ilustrado por variantes enfocadas a servidores IIS y herramientas de instalación automática bajo un alias conocido en foros, subraya otra tendencia: la profesionalización y comercialización de herramientas maliciosas. Equipos defensores deben combinar medidas técnicas con procedimientos organizativos: endurecimiento de servidores web, reglas de WAF, rotación de credenciales, logging de acceso a buckets S3 y revisiones regulares de permisos de repositorios y artefactos en GitHub y similares. Recursos de investigación y aviso por parte de la industria siguen siendo esenciales; se pueden consultar análisis de fabricantes y centros de investigación para guías prácticas y IOC en sus portales, por ejemplo en sitios de análisis de amenazas como ESET — WeLiveSecurity y en los blogs de inteligencia de amenazas de grandes equipos como Cisco Talos.
Para equipos SOC y responsables de seguridad en las organizaciones, la recomendación operativa inmediata es incrementar la visibilidad sobre el uso de APIs de terceros y aplicaciones en la nube, instrumentar detección de creación y ejecución atípica de procesos (por ejemplo spawn de cmd.exe desde aplicaciones no habituales), revisar accesos a almacenamiento en la nube y patrones de tráfico saliente, y realizar hunts específicos buscando señales de uso de proxies encadenados o herramientas como SoftEther. Complementariamente, la concienciación de administradores en torno a repositorios públicos que imitan proyectos legítimos y la revisión de artefactos descargados desde repos externos deben formar parte del programa de seguridad.
En resumen, la evolución de Webworm muestra que el perímetro ya no es suficiente: los atacantes aprovechan servicios legítimos y herramientas administrativas para ocultar sus operaciones, por lo que la defensa eficaz exige visibilidad de la telemetría de identidad y de la nube, control estricto de permisos y detección basada en comportamiento. Mantener una postura de seguridad proactiva y actualizar los procesos de monitorización y respuesta es la mejor defensa frente a estas amenazas cada vez más sofisticadas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...