Quando le backdoor si appropriano della fiducia: la mossa di Webworm su Discord e Microsoft Graph
Un sospetto cluster di spionaggio sta usando normali servizi cloud come percorsi di traffico segreti, trasformando strumenti di collaborazione familiari in canali di comando più difficili da individuare.
Introduzione
Gli aggressori non hanno sempre bisogno di una nuova infrastruttura per rimanere nascosti. A volte devono solo prendere in prestito quella di qualcun altro. Questa è la lezione inquietante dell’ultima attività di Webworm: due backdoor, denominate EchoCreep e GraphWorm, sono associate a collegamenti di comando e controllo instradati tramite Discord e Microsoft Graph API. Il risultato è un modello operativo più discreto, in cui il traffico malevolo può somigliare da vicino al normale utilizzo di SaaS.
Fatti rapidi
- Webworm viene collegato a una nuova attività del 2025 che coinvolge due backdoor, EchoCreep e GraphWorm.
- Discord e Microsoft Graph API vengono usati come canali di comando e controllo.
- Webworm è stato documentato pubblicamente per la prima volta nel 2022 ed è stato ritenuto attivo almeno da quell’anno.
- Tra i bersagli segnalati figurano anche agenzie governative.
- Le tecniche utilizzate puntano al camuffamento SaaS, in cui servizi cloud legittimi trasportano il traffico degli aggressori.
Il trucco tecnico
Dal punto di vista difensivo, la parte interessante non sono solo i nomi del malware, ma il trasporto. I webhook di Discord e i flussi in stile bot possono spostare messaggi su HTTPS standard, il che fa apparire il percorso di rete del tutto normale, a meno che i difensori non stiano monitorando un uso anomalo delle API. Microsoft Graph aggiunge un ulteriore livello di occultamento perché è una REST API basata sull’identità, legata alle attività di Microsoft 365, alle autorizzazioni e ai token bearer. Se un operatore dispone di accesso valido, il traffico può confondersi con il normale uso enterprise del cloud.
Ecco perché l’abuso del cloud è diventato un pattern così persistente nei casi di spionaggio. Riduce la necessità di server ospitati dagli aggressori, complica il blocco basato sugli indirizzi IP e sposta il peso dell’indagine verso i log di audit SaaS, le registrazioni delle applicazioni, le concessioni di consenso e la gestione dei token. In altre parole, la caccia si sposta dal perimetro alla telemetria dell’identità e delle applicazioni.
Perché i difensori dovrebbero preoccuparsi
Il rischio più ampio non è soltanto che i comandi possano essere recapitati tramite piattaforme affidabili. Gli stessi canali possono anche supportare staging ed esfiltrazione, a seconda di come è costruito il malware e a quali autorizzazioni può accedere. Questo rende importante anche il comportamento degli endpoint: processi figlio insoliti, uso sospetto dei token, caricamento in memoria e strani pattern di API in uscita possono risultare più rivelatori del semplice filtraggio delle destinazioni.
C’è anche un aspetto storico. Webworm è stato in passato associato a strumenti riutilizzati o modificati, un dettaglio rilevante perché il riuso degli strumenti può confondere l’attribuzione e ridurre il costo dell’evoluzione delle tecniche operative. Il pattern attuale segue questa logica: vecchie abitudini di spionaggio, trasporto cloud moderno. Al momento della scrittura, le informazioni pubbliche non stabiliscono la portata completa dei sistemi interessati né se le vittime siano state effettivamente compromesse.
Conclusione
La lezione è semplice ma scomoda: i canali segreti più efficaci sono spesso quelli più ordinari. Mentre gli aggressori continuano a nascondersi all’interno di servizi fidati di collaborazione e identità, i difensori dovranno pensare meno come guardiani delle reti e più come revisori del comportamento cloud. Nel nuovo playbook dello spionaggio, la fiducia stessa fa parte della superficie d’attacco.
TECHCROOK
Chiave di sicurezza hardware: Una chiave fisica di accesso aggiunge un secondo fattore robusto per gli account online e i portali di amministrazione cloud. È un’opzione pratica per chi utilizza Microsoft 365, Google Workspace, gestori di password o altri servizi che supportano l’accesso resistente al phishing. Se usata insieme a controlli adeguati dell’account, può ridurre la dipendenza da codici SMS o password riutilizzabili.
WIKICROOK
- Comando e controllo (C2): Il canale che gli aggressori usano per inviare istruzioni ai sistemi compromessi.
- Webhook: Un meccanismo che consente a un servizio di inviare messaggi automatici a un altro tramite HTTP.
- Microsoft Graph API: L’API di Microsoft per accedere all’identità cloud, alla posta, ai file e ai servizi correlati.
- Token bearer: Una credenziale che concede l’accesso alle API a chiunque la presenti correttamente.
- Caricamento in memoria: Una tecnica in cui il codice malevolo viene eseguito senza lasciare file evidenti su disco.




