Çin ile bağlantılı gelişmiş kalıcı tehdit (APT) grubu Webworm, hedef listesini Asya'nın ötesine genişleterek Avrupa'daki devlet kuruluşlarına yöneldi. ESET araştırmacılarının 2025 yılındaki Webworm faaliyet analizine göre, grup Belçika, İtalya, Polonya, Sırbistan ve İspanya'daki devlet kurumlarını hedef alıyor. Webworm, siber casusluk kampanyalarıyla bilinen bir tehdit aktörü.
ESET'in Berlin'de düzenlenen ESET World etkinliğinde konuşan baş tehdit araştırmacısı Robert Lipovsky, hedef kuruluşlar arasında mutlaka bir bağlantı olmadığını ve operasyonun 'yarı fırsatçı' göründüğünü belirtti. Avrupa'daki girişimlerin yanı sıra Webworm, Güney Afrika'da bir üniversiteyi de hedef alarak bölgedeki varlığını genişletti. Lipovsky, Sırbistan'daki kurban kuruluşta, artık desteklenmeyen SquirrelMail webmail hizmetindeki bir güvenlik açığının ilk erişim için kullanıldığını aktardı.
Webworm kampanyasında iki yeni backdoor tespit edildi: Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm. EchoCreep, dosya yükleme, çalışma zamanı raporları gönderme ve komut alma için Discord'u kullanıyor. Lipovsky, Discord'un backdoor olarak kullanılmasının ilk kez görülmediğini ancak yaygın olmadığını söyledi. GraphWorm ise komuta ve kontrol (C2) iletişimi için Microsoft Graph API'sini kullanıyor ve OneDrive uç noktalarını kullanarak yeni görevler alıyor ve kurban bilgilerini yüklüyor.
ESET araştırmacıları, 400'den fazla Discord mesajını çözümleyerek saldırganların GitHub deposuna ulaştı. Depoda SoftEther VPN uygulaması gibi sahte araçlar bulunuyordu. SoftEther yapılandırma dosyasında Webworm'a ait bir IP adresi tespit edildi. Ayrıca grup, WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi yeni proxy çözümleri kullanarak daha geniş bir gizli ağ oluşturuyor. ChainWorm, Webworm'un kullanabileceği proxy ağını genişletirken, WormFrp, güvenliği ihlal edilmiş bir AWS S3 paketinden yapılandırma alarak veri sızdırma ve kurbanın hesabına fatura yansıtma işlemleri gerçekleştiriyor.