Китайские хакеры пришли в Европу через Discord и GitHub
изображение: grok
Группировка Webworm, она же Space Pirates и UAT-8302, сменила азиатские цели на европейские госструктуры. Атаки зафиксированы в Бельгии, Италии, Польше, Сербии и Испании, а ещё в Южной Африке пострадал местный университет. Операторы перенесли почти всю работу в обычные интернет-сервисы — Discord, GitHub, Microsoft Graph API и облачные платформы.
Расследование ESET началось с редкой удачи для аналитиков. Им достались более 400 расшифрованных сообщений Discord, через которые злоумышленники рулили инфраструктурой и заражёнными машинами. Картина внутренней кухни группы вышла подробной: список инструментов, методы работы и разведка как минимум против 50 целей. Никаких громоздких экзотических платформ операторы не держали — прятались за фасадом популярных площадок.
Аналитику ESET Эрику Ховарду удалось восстановить команды, которые выполнялись на одном из серверов группы. Так стало понятно, как хакеры заходят в сети жертв. Их рабочий набор для первого шага выглядел так:
- открытый сканер уязвимостей для поиска слабых мест;
- сбор данных о выбранных организациях;
- GitHub-репозиторий под промежуточные вредоносные файлы и утилиты.
Содержимое репозитория зацепило исследователей сильнее всего. Там лежал SoftEther VPN, а в его конфигурации нашёлся IP-адрес, который раньше засветился в инфраструктуре Webworm. Публичная платформа стала для группы сразу складом, каналом связи и слоем маскировки.
Интересно, что одни и те же сервисы хакеры приспособили под три разные роли одновременно — хранение, управление и сокрытие.
Главным обновлением кампании стали два новых бэкдора. Вот что они умеют:
- EchoCreep — использует Discord для управления, через него операторы грузят файлы, собирают отчёты о работе малвари и шлют команды устройствам;
- GraphWorm — построен вокруг Microsoft Graph API и OneDrive, получает задания и выгружает данные жертв через облако Microsoft.
Схема неприятна для защитников по простой причине. Трафик к крупным облачным платформам службы безопасности обычно принимают за рядовую корпоративную активность и не присматриваются к нему.
Прокси-инфраструктуре группы ESET уделила отдельный разбор. К прежним механизмам добавились собственные разработки:
- WormFrp;
- ChainWorm;
- SmuxProxy;
- WormSocket.
Исследователи допускают, что Webworm собирает скрытую распределённую сеть из ранее взломанных устройств. Заражённые системы превращаются в промежуточные узлы — через них идут новые атаки и маскируются маршруты.
В ходе расследования вскрылся ещё один трюк. WormFrp подтягивал конфигурации из скомпрометированного AWS S3-бакета, а через этот механизм операторы организовывали утечку данных, пока счёт за облако оплачивала сама жертва.
По словам Эрика Ховарда, хакеры научились воровать информацию за деньги тех, кого они же и взломали.
Между декабрём 2025 года и январём 2026 года участники группы залили на сервис 20 новых файлов. Два из них ESET связала с госорганизацией в Испании — их похитили у неё. Аналитики уверены, что группа не бросит GitHub и публичные сервисы, ведь так вредоносная активность растворяется в потоке обычного трафика гигантских платформ, где фильтрация и блокировки даются куда тяжелее.
Звучит это всё весомее после недавних заявлений западных разведок о китайских операциях против критической инфраструктуры. Альянс «Пять глаз», а также спецслужбы Германии, Японии, Нидерландов, Испании и Швеции подозревают китайские группы в массовом захвате домашних устройств для скрытых атак на энергетику и телеком. В отчётах фигурировали роутеры, бытовая техника и прочие подключённые гаджеты, за которыми операторы прячутся месяцами. Теперь к этому арсеналу прибавились Discord, GitHub, OneDrive и облачные платформы.
Эксперты редакции CISOCLUB уверены, что размывание границы между легитимными сервисами и хакерской инфраструктурой станет головной болью для защитников на годы вперёд. Когда вредоносный трафик неотличим от рабочего, классические правила фильтрации перестают спасать, и компаниям придётся переучивать свои системы мониторинга.
