As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu portas traseiras que comunicam com seus operadores através de serviços legítimos como o Discord e a API da Microsoft Graph, aproveitando assim canais que muitas vezes passam despercebidos entre o tráfego empresarial normal.
Webworm não é novidade; foi documentado publicamente pela primeira vez em 2022 e nos últimos anos tem atacado agências governamentais e empresas em setores críticos como serviços TI, aeroespacial e energia elétrica em países da Ásia e Europa. O que muda agora é a priorização de ferramentas que imitam ou reutilizam utilitários legítimos —SOCKS proxies, SoftEther VPN, e soluções proxy próprias — em vez de depender exclusivamente de RATs tradicionais. Esta abordagem tem o objectivo evidente de elevar a sigilosidade e dificultar a atribuição e a detecção.
Duas novas peças do arsenal descobertas em 2025 ilustram esta tendência: um backdoor que usa o Discord como canal de comando e controle (denominada EchoCreep) e outra que abusa da Microsoft Graph API (GraphWorm) com capacidades para executar comandos, transferir arquivos para e do OneDrive e autodesactivar de acordo com instruções do operador. A escolha dessas plataformas não é casual: ambos os serviços oferecem APIs ricas, tráfego criptografado e uma ampla base de usuários que facilita a mistura do tráfego malicioso com atividade legítima.
Além das novas backdoors, a Webworm continua a utilizar uma estratégia combinada que inclui o uso de repositórios no GitHub usados como cogumelos ou depósitos para ferramentas e a exploração de utilitários open source (dirsearch, nuclei) para descobrir servidores Web vulneráveis. Também foram identificados proxies personalizados que permitem encadeamento entre hosts internos e externos, e recuperação de configurações de recursos de nuvem comprometidos, como buckets da Amazon S3. Tudo isso aponta para uma cadeia de intrusão que prioriza persistência discreta e mobilidade lateral controlada.
As implicações operacionais para organizações e equipamentos de defesa são claras: as ferramentas legítimas podem se tornar vetores de intrusão e as defesas tradicionais baseadas em assinaturas de malware ou no bloqueio de domínios suspeitos perdem eficácia. Detectar este tipo de ataques exige telemetria mais rica (logs de atividade de APIs na nuvem, registros de aplicativos OAuth, telemetria de endpoints e correlação de tráfego saliente) e regras de detecção centradas em comportamento anormais e uso indevido de serviços autorizados.
Na prática, convém rever configurações de identidade e acesso: auditar e restringir permissões de aplicativos registradas no Azure/Office 365, aplicar políticas de consentimento para aplicações OAuth, ativar bloqueio de aplicativos e dispositivos não gerenciados, e monitorar o uso do Microsoft Graph e OneDrive para padrões incomuns de aumento/descarga. A Microsoft oferece documentação e guias sobre Graph que são úteis para entender os vectores que os atacantes abusam, e os desenvolvedores e administradores deveriam rever esses pontos; mais informações técnicas estão disponíveis na documentação oficial: Microsoft Graph.
Quanto ao Discord, embora seja uma plataforma de comunicação orientada para o consumidor, suas APIs e webhooks podem ser reutilizadas como canal C2. As organizações devem limitar a possibilidade de processos ou usuários automatizados interagirem com serviços externos de mensagens, monitorar tokens e credenciais expostas e complementar com políticas de egress que restrinjam conexões salientes desnecessárias. A documentação para desenvolvedores do Discord ajuda a compreender as capacidades que podem ser exploradas: Discord Developer Documentation.
A ocorrência paralela de um modelo de malware oferecido como serviço, ilustrado por variantes focadas a servidores IIS e ferramentas de instalação automática sob um alias conhecido em fóruns, destaca outra tendência: a profissionalização e comercialização de ferramentas maliciosas. Equipamentos defensores devem combinar medidas técnicas com procedimentos organizacionais: endurecimento de servidores web, regras de WAF, rotação de credenciais, logging de acesso a buckets S3 e revisões regulares de permissões de repositórios e artefatos no GitHub e semelhantes. Recursos de investigação e aviso por parte da indústria continuam a ser essenciais; podem ser consultadas análises de fabricantes e centros de pesquisa para guias práticas e IOC em seus portais, por exemplo em sites de análise de ameaças como ESET — WeLiveSecurity e em blogs de inteligência de ameaças de grandes equipes como Cisco Talos.
Para equipamentos SOC e responsáveis pela segurança nas organizações, a recomendação operacional imediata é aumentar a visibilidade sobre o uso de APIs de terceiros e aplicações na nuvem, instrumentar detecção de criação e execução atípica de processos (por exemplo, spawn de cmd.exe a partir de aplicações não habituais), revisar acessos a armazenamento na nuvem e padrões de tráfego saliente, e realizar hunts específicos procurando sinais de uso de proxies encadeados ou ferramentas como SoftEther. Complementariamente, a consciência de administradores em torno de repositórios públicos que imitam projetos legítimos e a revisão de artefatos baixados desde repos externos devem fazer parte do programa de segurança.
Em suma, a evolução da Webworm mostra que o perímetro já não é suficiente: os atacantes aproveitam serviços legítimos e ferramentas administrativas para esconder suas operações, portanto, a defesa eficaz exige visibilidade da telemetria de identidade e da nuvem, controle estrito de permissões e detecção baseada em comportamento. Manter uma postura de segurança proativa e atualizar os processos de monitoramento e resposta é a melhor defesa contra essas ameaças cada vez mais sofisticadas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...