Microsoft Graph Api

Pesquisadores de cibersegurança identificaram atividades recentes do grupo de ameaças alinhado à China, conhecido como Webworm, que tem utilizado backdoors personalizados para comunicação de comando e controle (C2) via Discord e Microsoft Graph API. O Webworm, ativo desde pelo menos 2022, tem como alvo agências governamentais e empresas em setores como serviços de TI, aeroespacial e energia elétrica, principalmente na Rússia, Geórgia, Mongólia e outros países asiáticos. Em 2025, o grupo introduziu novas ferramentas, como EchoCreep e GraphWorm, que permitem upload e download de arquivos e execução de comandos. O uso de um repositório do GitHub que se disfarça de um fork do WordPress para distribuir malware é uma tática que visa evitar detecções. Além disso, o grupo tem se afastado de backdoors tradicionais, adotando ferramentas de proxy mais discretas. A análise indica que o Webworm está se expandindo para alvos na Europa e na África do Sul, o que pode representar um risco crescente para organizações em todo o mundo.

Uma nova variante do backdoor GoGra, desenvolvida pelo grupo de espionagem Harvester, utiliza a infraestrutura legítima da Microsoft para realizar entregas furtivas de payloads. O malware, que opera em sistemas Linux, se aproveita da API Microsoft Graph para acessar dados de caixas de entrada do Outlook. A análise da Symantec revelou que o acesso inicial é obtido ao enganar as vítimas para que executem arquivos ELF disfarçados de PDFs. Após a autenticação com credenciais do Azure Active Directory, o malware verifica a pasta de e-mails “Zomato Pizza” a cada dois segundos, utilizando consultas OData para identificar mensagens com o assunto “Input”. O conteúdo dessas mensagens é então decifrado e executado localmente, com os resultados sendo enviados de volta ao operador via e-mails com o assunto “Output”. Para aumentar a furtividade, o malware apaga o e-mail original após o processamento. A similaridade do código entre as versões para Linux e Windows sugere que ambas foram criadas pelo mesmo desenvolvedor, reforçando a ideia de que o Harvester está ampliando seu conjunto de ferramentas e escopo de ataque.