Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, elle a incorporé des portes arrière qui communiquent avec ses opérateurs à travers des services légitimes tels que Discord et l'API Microsoft Graphh, profitant ainsi de canaux qui passent souvent inaperçus entre trafic commercial normal.
Le ver du Web n'est pas nouveau; il a été documenté publiquement pour la première fois en 2022 et ces dernières années a attaqué des agences gouvernementales et des entreprises dans des secteurs critiques tels que les services informatiques, l'aérospatiale et l'électricité dans les pays d'Asie et d'Europe. Ce qui change maintenant, c'est la priorisation des outils qui imitent ou réutilisent les utilitaires légitimes - les proxys SOCKS, le VPN SoftEther et les solutions proxy propres - plutôt que de s'appuyer exclusivement sur les RAT traditionnels. Cette approche a pour objectif évident: augmenter la sigilosité et rendre difficile l'attribution et la détection.
Deux nouveaux morceaux de l'arsenal découvert en 2025 illustrent cette tendance : un backdoor qui utilise Discord comme canal de commande et de contrôle - appelé EchoCreep - et un autre qui abuse de Microsoft GraphAPI - GraphWorm - avec la capacité d'exécuter des commandes, de transférer des fichiers vers et depuis OneDrive et d'auto-désactiver selon les instructions de l'opérateur. Le choix de ces plateformes n'est pas occasionnel : les deux services offrent de riches API, du trafic chiffré et une large base d'utilisateurs qui facilite le mélange du trafic malveillant avec une activité légitime.
En plus des nouvelles portes arrière, Webworm continue d'utiliser une stratégie combinée qui inclut l'utilisation de dépôts GitHub utilisés comme dépôts de lures ou d'outils et l'exploitation d'utilitaires open source (dirsearch, noyaux) pour découvrir des serveurs Web vulnérables. Des proxies personnalisés ont également été identifiés qui permettent le canalisation d'hôtes internes et externes, et la récupération de configurations à partir de ressources cloud engagées, comme les seaux Amazon S3. Tout cela indique une chaîne d'intrusion qui priorise la persistance discrète et la mobilité latérale contrôlée.
Les implications opérationnelles pour les organisations et les équipes de défense sont claires : les outils légitimes peuvent devenir vecteurs d'intrusion et les défenses traditionnelles basées sur les signatures de logiciels malveillants ou le blocage de domaines suspects perdent de l'efficacité. La détection de ce type d'attaque nécessite une télémétrie plus riche (log d'activité des API nuageuses, enregistrements d'applications OAuth, télémétrie des paramètres et corrélation de trafic sortant) et des règles de détection axées sur le comportement anormal et l'utilisation abusive des services autorisés.
Dans la pratique, il convient de revoir les paramètres d'identité et d'accès : vérifier et restreindre les autorisations d'application enregistrées dans Azure / Office 365, appliquer des politiques de consentement pour les applications OAuth, permettre le blocage d'applications et d'appareils non gérés, et surveiller l'utilisation de Microsoft Graph et OneDrive pour les modèles de téléchargement et de téléchargement inhabituels. Microsoft offre des documents et des guides sur le graphique qui sont utiles pour comprendre les vecteurs que les attaquants abusent, et les développeurs et les administrateurs devraient revoir ces points; plus d'informations techniques sont disponibles dans la documentation officielle: Microsoft Graphh.
Quant à Discord, bien qu'il s'agisse d'une plateforme de communication axée sur le consommateur, ses API et webbooks peuvent être réutilisés en tant que canal C2. Les organisations devraient limiter la possibilité pour les processus automatisés ou les utilisateurs d'interagir avec les services de messagerie externe, de surveiller les jetons et les références exposées et de compléter les politiques d'évacuation qui limitent les connexions sortantes inutiles. La documentation pour les développeurs Discord vous aide à comprendre les capacités qui peuvent être exploitées: Discord Documentation du développeur.
L'apparition parallèle d'un modèle de malware offert comme service, illustrée par des variantes centrées sur les serveurs IIS et les outils d'installation automatique sous un alias connu de forum, met en évidence une autre tendance: la professionnalisation et la commercialisation d'outils malveillants. Les équipes de la Défense devraient combiner des mesures techniques et des procédures organisationnelles : durcissement du serveur Web, règles WAF, rotation des pouvoirs, connexion à l'accès au seau S3 et examen régulier des permis de dépôt et d'artefacts dans GitHub et autres. Les ressources de recherche et d'alerte de l'industrie restent essentielles; l'analyse des fabricants et des centres de recherche pour les guides pratiques et la COI peuvent être consultées sur leurs portails, par exemple sur des sites d'analyse des menaces tels que ESET - Sécurité WeLive et sur les gros blogs de renseignements de menace d'équipe comme Cisco Talos.
Pour les équipes SOC et les gestionnaires de sécurité des organisations, la recommandation opérationnelle immédiate est d'accroître la visibilité sur l'utilisation d'APIs tierces et d'applications en nuage, de mettre en œuvre la création de processus atypiques et la détection d'exécution (p. ex. cmd.exe proviennent d'applications inhabituelles), de revoir l'accès au stockage en nuage et les modèles de trafic sortant, et d'effectuer des chasses spécifiques à la recherche de signes d'utilisation de proxies enchaînés ou d'outils tels que SoftEther. En outre, la sensibilisation des gestionnaires aux dépôts publics qui imitent les projets légitimes et à l'examen des dispositifs téléchargés à partir de dépôts externes devrait faire partie du programme de sécurité.
Bref, l'évolution de WebWorm montre que le périmètre n'est plus suffisant : les attaquants profitent de services légitimes et d'outils administratifs pour cacher leurs opérations une défense efficace exige une visibilité par l'identité et la télémétrie des nuages, un contrôle strict des permis et une détection fondée sur le comportement. Le maintien d'une position de sécurité proactive et la mise à jour des processus de surveillance et d'intervention constituent la meilleure défense contre ces menaces de plus en plus complexes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...