De aan China gelieerde hackersgroep Webworm heeft zijn activiteiten verlegd van Azië naar Europa. ESET Research analyseerde campagnes uit 2025 waarbij overheidsorganisaties in België, Italië, Polen, Servië en Spanje werden aangevallen. De groep zet daarbij twee nieuwe backdoors in die gebruikmaken van Discord en de Microsoft Graph API als communicatiekanaal.
ESET Research heeft de activiteiten van Webworm in 2025 in kaart gebracht. De aan China gelieerde APT-groep, die zich eerder vooral richtte op organisaties in Azië, voerde aanvallen uit op overheidsorganisaties in België, Italië, Polen, Servië en Spanje. Daarnaast werd een universiteit in Zuid-Afrika gecompromitteerd.
ESET-onderzoekers wisten meer dan 400 Discord-berichten te ontsleutelen en ontdekten een door aanvallers beheerde server die werd gebruikt voor verkenning van meer dan 50 unieke doelwitten. Via de onderschepte commando’s kregen de onderzoekers zicht op de manier waarop de groep initiële toegang probeert te verkrijgen, onder meer met een open-source kwetsbaarheidsscanner.
ESET schrijft de campagne toe aan Webworm op basis van een IP-adres dat werd gevonden in een configuratiebestand van de SoftEther VPN-applicatie, aangetroffen in een GitHub-repository van de aanvallers. Dat IP-adres komt overeen met een eerder bekend Webworm-IP-adres.
Twee nieuwe backdoors
De voornaamste nieuwe toevoegingen aan het arsenaal van de groep zijn twee backdoors: EchoCreep en GraphWorm. EchoCreep gebruikt Discord om bestanden te uploaden, rapportages te versturen en commando’s te ontvangen. GraphWorm maakt gebruik van de Microsoft Graph API en communiceert uitsluitend via OneDrive-endpoints om taken op te halen en gegevens van slachtoffers te uploaden.
Naast deze backdoors heeft de groep ook aangepaste proxytools toegevoegd, waaronder WormFrp, ChainWorm, SmuxProxy en WormSocket. Op basis van het aantal proxytools en de onderlinge complexiteit vermoedt ESET dat Webworm bezig is een verborgen netwerk op te bouwen, waarbij slachtoffers mogelijk worden ingezet als proxydragers voor de groep.
Misbruik van cloudopslag
ESET-onderzoekers stelden vast dat Webworm de proxyoplossing WormFrp inzette om configuraties op te halen uit een gecompromitteerde AWS S3-bucket. Volgens ESET-onderzoeker Eric Howard kan Webworm via deze constructie data exfiltreren, terwijl het nietsvermoedende slachtoffer opdraait voor de kosten van de cloudopslagdienst.
Tussen december 2025 en januari 2026 uploadden de aanvallers twintig nieuwe bestanden naar de bucket. Twee daarvan bleken afkomstig te zijn van een overheidsorganisatie in Spanje. De groep zet daarnaast GitHub in om bestanden klaar te zetten. ESET verwacht dat Webworm deze werkwijze ook in de toekomst zal blijven hanteren.
Gebruik van legitieme diensten
Een opvallend kenmerk van de recente campagnes is het stelselmatige misbruik van bekende clouddiensten als Discord, OneDrive en GitHub voor C&C-communicatie. Door legitieme platforms te gebruiken, is kwaadaardig verkeer moeilijker te onderscheiden van regulier netwerkverkeer. ESET meldt dat dit patroon, in combinatie met de geografische verschuiving richting Europa, aantoont dat de groep zijn werkwijze actief aanpast.
Meer technische details zijn te vinden in de ESET Research-blogpost ‘Webworm: New burrowing techniques’ op WeLiveSecurity.com.
