La campagna Webworm mostra come strumenti di collaborazione, API cloud e livelli proxy possano diventare parte di una catena di intrusione senza apparire apertamente malevoli sulla rete.
Una backdoor segnalata e collegata a Webworm utilizza Microsoft Graph e OneDrive come canale di comando, evidenziando come il traffico SaaS ordinario possa essere riutilizzato per operazioni segrete.
Un sospetto cluster di spionaggio sta usando normali servizi cloud come percorsi di traffico segreti, trasformando strumenti di collaborazione familiari in canali di comando più difficili da individuare.