Webworm-Malware: EchoCreep und GraphWorm nutzen Discord als C&C
18.06.2026 - 06:23:18 | boerse-global.de
EchoCreep und GraphWorm heißen die Werkzeuge, die Sicherheitsforscher Mitte Juni 2026 entdeckten. Besonders brisant: Die Angreifer nutzen zunehmend legitime Cloud-Dienste und Kommunikationsplattformen wie Discord und die Microsoft Graph API für ihre Kommando- und Kontrollstrukturen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Leitfaden zur Cyber-Security jetzt gratis abrufen
EchoCreep: Der Türöffner für Systemzugriffe
Die Hintertür EchoCreep dient als primäres Werkzeug, um Zugang zu kompromittierten Systemen aufrechtzuerhalten. Zu ihren Kernfunktionen gehören das Hoch- und Herunterladen von Dateien sowie die Ausführung von Befehlen über die Windows-Eingabeaufforderung. Um der Entdeckung in der Anfangsphase eines Angriffs zu entgehen, nutzt Webworm GitHub-Repositories, die legitime Software imitieren – darunter einen Fork des Content-Management-Systems WordPress.
GraphWorm: Datendiebstahl über die Cloud
GraphWorm ist die ausgefeiltere Ergänzung im Arsenal der Gruppe. Das Schadprogramm nutzt die Microsoft Graph API, um Remote-Sitzungen zu verwalten und komplexe Prozesse auszuführen. Besonders perfide: GraphWorm zielt gezielt auf Microsoft OneDrive-Konten ab. Die Angreifer können so Daten direkt über den Cloud-Speicherdienst stehlen – eine effektive Methode, um traditionelle Sicherheitsbarrieren zu umgehen.
Discord als Kommandozentrale
Ein alarmierender Befund ist die langfristige Nutzung von Discord für die Kommando- und Kontrollinfrastruktur. Die Untersuchung der entsprechenden Kanäle förderte Aktivitäten zutage, die bis zum 21. März 2024 zurückreichen. Allein im beobachteten Zeitraum wurden mindestens 433 Nachrichten über die Plattform ausgetauscht.
Zur Tarnung und für die laterale Bewegung innerhalb der Zielnetzwerke setzt die Gruppe zudem auf eine Reihe von Netzwerktools. Dazu gehören SoftEther VPN sowie spezialisierte Proxy-Werkzeuge mit den Namen WormFrp, ChainWorm, SmuxProxy und WormSocket. Für Schwachstellenscans und Aufklärung nutzen die Angreifer Open-Source-Tools wie dirsearch und nuclei.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Anti-Phishing-Paket jetzt kostenlos herunterladen
Wer im Visier steht
Webworms Kampagnen, die im Laufe des Jahres 2025 deutlich an Fahrt aufnahmen, konzentrieren sich auf hochkarätige Ziele. Dazu gehören Regierungsorganisationen, IT-Dienstleister, Unternehmen der Luft- und Raumfahrt sowie der Stromsektor.
Verbindungen zum Malware-as-a-Service-Markt
Branchenanalysen deuten auf mögliche Überschneidungen zwischen Webworm und dem breiteren Markt für Malware-as-a-Service hin. Berichten zufolge wurde eine Variante der BadIIS-Malware von einer Person mit dem Alias lwxat verkauft. Der anhaltende Einsatz von EchoCreep und GraphWorm zeigt eine verfeinerte Vorgehensweise in der Cyber-Spionage: Eigenentwickelte Hintertüren werden mit etablierten Drittanbieterdiensten kombiniert, um traditionelle Sicherheitsvorkehrungen zu umgehen.
