Webworm nutzt Discord und MS Graph API für Cyberangriffe

Cybersecurity-Forscher haben neue Aktivitäten des mit China assoziierten Bedrohungsakteurs Webworm identifiziert, der im Jahr 2025 maßgeschneiderte Backdoors einsetzt. Diese Backdoors nutzen Discord und die Microsoft Graph API für die Kommunikation im Command-and-Control (C2) Bereich. Webworm wurde erstmals im September 2022 von Symantec, einer Tochtergesellschaft von Broadcom, öffentlich dokumentiert und ist seit mindestens 2022 aktiv. Die aktuellen Angriffe zielen vor allem auf Regierungsbehörden ab, was auf eine gezielte Strategie zur Informationsbeschaffung hindeutet. Die Verwendung von Discord als Kommunikationskanal ist bemerkenswert, da diese Plattform normalerweise für soziale Interaktionen genutzt wird.

Die Bedrohungsakteure scheinen die Plattform für ihre eigenen Zwecke zu missbrauchen, um ihre Aktivitäten zu verschleiern. Die Microsoft Graph API wird ebenfalls als Teil der Infrastruktur für die Backdoors verwendet. Diese API ermöglicht den Zugriff auf verschiedene Microsoft-Dienste und könnte den Angreifern helfen, sich unbemerkt in Netzwerke einzuschleusen. Die Kombination dieser beiden Technologien zeigt, wie vielseitig und anpassungsfähig moderne Cyberangriffe sein können. Webworm hat sich in der Vergangenheit durch die Nutzung von Phishing-Techniken und Social Engineering hervorgetan, um Zugang zu sensiblen Informationen zu erhalten.

neuen Backdoors erweitern das Arsenal des Akteurs und erhöhen die Bedrohung für betroffene Organisationen. Sicherheitsforscher warnen, dass die Angriffe möglicherweise auch auf andere Sektoren ausgeweitet werden könnten. Die Entdeckung dieser neuen Taktiken hat zu einer erhöhten Alarmbereitschaft unter den Sicherheitsbehörden geführt. Experten empfehlen, dass Organisationen ihre Sicherheitsprotokolle überprüfen und verstärken, um sich gegen solche Angriffe zu wappnen. Die Implementierung von mehrstufigen Authentifizierungsverfahren und regelmäßige Schulungen für Mitarbeiter könnten entscheidend sein, um Phishing-Versuche zu erkennen.

Die Aktivitäten von Webworm sind Teil eines größeren Trends, bei dem staatlich unterstützte Akteure zunehmend komplexe Techniken einsetzen, um ihre Ziele zu erreichen. Die Verwendung von Plattformen wie Discord könnte darauf hindeuten, dass Angreifer versuchen, sich an die sich verändernde digitale Landschaft anzupassen. Sicherheitsforscher beobachten diese Entwicklungen genau, um geeignete Gegenmaßnahmen zu entwickeln. Die Bedrohung durch Webworm ist nicht isoliert, sondern Teil eines globalen Musters von Cyberangriffen, die von verschiedenen Akteuren ausgehen. Die internationale Zusammenarbeit zwischen Sicherheitsbehörden wird als entscheidend angesehen, um diesen Bedrohungen entgegenzuwirken.

Ein Beispiel für solche Kooperationen ist die gemeinsame Initiative von Europol und Interpol zur Bekämpfung von Cyberkriminalität. Die Sicherheitslage bleibt angespannt, da immer mehr Organisationen von Cyberangriffen betroffen sind. Laut einer aktuellen Studie haben 23 % der Unternehmen in den letzten 12 Monaten einen Sicherheitsvorfall gemeldet. Diese Zahlen verdeutlichen die Dringlichkeit, Sicherheitsmaßnahmen zu verstärken und auf neue Bedrohungen zu reagieren. Die Forscher von Symantec haben bereits Maßnahmen empfohlen, um die Risiken zu minimieren. Dazu gehört die regelmäßige Überprüfung von Software und Systemen auf Schwachstellen sowie die Implementierung von Sicherheitsupdates. Die nächste große Sicherheitskonferenz, auf der diese Themen diskutiert werden, findet im Juni 2026 in Berlin statt.