In passato, gli esperti di sicurezza hanno visto tecniche simili che hanno sfruttato Telegram, ma l’uso di Discord è decisamente una novità. E non è l’unica: un’altra backdoor utilizzata da WebWorm sfrutta Microsoft Graph, un’API (Application Programming Interface) che in ambiente Windows consente di unificare le comunicazioni tra applicazioni come Outlook, Teams, OneDrive, calendari e altri servizi. Tutti i file vengono nascosti all’interno di cartelle di OneDrive (il sistema di storage su cloud di Microsoft) utilizzando, in pratica, la stessa infrastruttura della vittima per nascondere gli strumenti che gli servono per violarne i sistemi.
Malware e informazioni nascoste nel cloud
L’arsenale a disposizione degli hacker cinesi è impressionante e composto sia da strumenti open source, sia da software personalizzati dal gruppo stesso. Per offuscarne l’origine, i cyber spioni di Pechino hanno utilizzato una tecnica semplice, cioè nasconderli in piena vista. Ironicamente, lo strumento scelto è ancora un servizio della galassia Microsoft: GitHub. GitHub è una piattaforma online nata per ospitare, gestire e consentire la collaborazione su progetti software. I suoi repository sono utilizzati da milioni di sviluppatori per scaricare le versioni aggiornate dei componenti software e, di conseguenza, il traffico diretto alla piattaforma non suscita particolare attenzione.
Gli hacker di Webworm hanno utilizzato un forchetta (una copia indipendente da quella ufficiale – ndr) del repository dedicato a WordPress, il più celebre e utilizzato software per la creazione e gestione di siti web. Il repository, in pratica, era stato trasformato in un magazzino da cui era possibile scaricare qualsiasi tipo di malware aggiuntivo.
