Çin Bağlantılı Webworm APT Grubu Taktiklerini Değiştiriyor, Avrupa Hedeflerine Yöneliyor Windows

Çin Bağlantılı Webworm APT Grubu Taktiklerini Değiştiriyor, Avrupa Hedeflerine Yöneliyor

Çin bağlantılı Webworm APT grubu, Avrupa'daki hükümet kurumlarını hedef alarak taktiklerini değiştiriyor. ESET, Discord ve Microsoft Graph tabanlı iki

Çin ile bağlantılı gelişmiş kalıcı tehdit (APT) grubu Webworm, hedef listesini Asya'nın ötesine genişleterek Avrupa'daki hükümet kuruluşlarına yöneldi. ESET araştırmacılarının 2025 yılında yaptığı analize göre grup, Belçika, İtalya, Polonya, Sırbistan ve İspanya'daki hükümet kurumlarını hedef aldı. Grup, siber casusluk kampanyalarıyla biliniyor. ESET'in baş tehdit araştırmacısı Robert Lipovsky, 19 Mayıs'ta Berlin'deki ESET World etkinliğinde yaptığı konuşmada, hedef kurumlar arasında mutlaka bir bağlantı olmadığını ve operasyonun 'yarı fırsatçı' göründüğünü belirtti.

Avrupa'daki faaliyetlerinin yanı sıra Webworm, Güney Afrika'ya da sıçrayarak bir üniversiteyi hedef aldı. Webworm kampanyalarının tam giriş noktası net olmasa da Lipovsky, Sırp hedef kurumda, artık desteklenmeyen SquirrelMail web posta hizmetindeki bir güvenlik açığının saldırganın ilk erişim için olası bir yol olduğunu belirtti. Grup ayrıca, Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm olmak üzere iki yeni backdoor kullandı. EchoCreep, dosya yüklemek, çalışma zamanı raporları göndermek ve komut almak için Discord'u kullanıyor. Lipovsky, Discord'un ilk kez backdoor olarak kullanılmadığını ancak yaygın olmadığını söyledi.

GraphWorm ise komuta ve kontrol (C2) iletişimi için Microsoft Graph uygulama programlama arayüzünü (API) kullanıyor. ESET araştırmacıları, yalnızca OneDrive uç noktalarını kullanarak yeni işler almak ve kurban bilgilerini yüklemek için kullandığını keşfetti. Araştırma sırasında ekip, 400'den fazla Discord mesajının şifresini çözdü ve 50'den fazla benzersiz hedefe karşı keşif amaçlı kullanılan bir saldırgan sunucusu tespit etti. Şifresi çözülen mesajlardaki bilgiler, araştırmacıları saldırganların GitHub deposuna yönlendirdi; bu depoda SoftEther VPN uygulaması gibi aşamalı yapay öğeler bulunuyordu.

ESET, SoftEther yapılandırma dosyasında bilinen bir Webworm IP'siyle eşleşen bir IP adresi buldu. Saldırganlar ayrıca, WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi yeni eklenen özel proxy çözümlerini kullanmaya devam etti. ESET, proxy araçlarının sayısı ve karmaşıklığına dayanarak Webworm'un, kurbanları proxy'lerini çalıştırmaya kandırarak çok daha geniş bir gizli ağ oluşturuyor olabileceğini belirtti. Ayrıca ChainWorm, Webworm için kullanılabilir proxy ağını genişletmek amacıyla kullanılırken, WormFrp, güvenliği ihlal edilmiş bir Amazon Web Services (AWS) S3 kovasından yapılandırma almak için kullanılıyor. Bu sayede Webworm, veri sızdırma işlemini gerçekleştirirken kurban kullanıcının hizmet için ödeme yapmasını sağlıyor.

Paylaş: