Çin bağlantılı gelişmiş kalıcı tehdit (APT) grubu Webworm, hedef listesini Asya'nın ötesine genişleterek Avrupa devlet kurumlarına odaklanıyor. ESET araştırmacılarının 2025 yılı analizlerine göre grup, Belçika, İtalya, Polonya, Sırbistan ve İspanya'daki hükümet kuruluşlarını hedef aldı. Webworm, siber casusluk kampanyalarıyla biliniyor.
ESET'in Berlin'deki ESET World etkinliğinde konuşan baş tehdit araştırmacısı Robert Lipovsky, hedef kuruluşlar arasında doğrudan bir bağlantı olmadığını, operasyonun 'yarı fırsatçı' göründüğünü belirtti. Avrupa'nın yanı sıra Webworm, Güney Afrika'da bir üniversiteyi de hedef aldı. Sırbistan'daki kurban kuruluşta ise, kullanımdan kaldırılan SquirrelMail webmail hizmetindeki bir güvenlik açığı ilk giriş noktası olarak tespit edildi.
Grup, Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm olmak üzere iki yeni backdoor kullanıyor. EchoCreep, dosya yüklemek, çalışma raporları göndermek ve komut almak için Discord'u kullanıyor. GraphWorm ise Microsoft Graph API'sini komuta ve kontrol (C2) iletişimi için kullanıyor ve yalnızca OneDrive uç noktalarını kullanarak yeni görevler alıyor ve kurban bilgilerini yüklüyor. Araştırmacılar, 400'den fazla Discord mesajını çözerek 50'den fazla hedefe yönelik keşif yapan bir sunucu tespit etti.
Çözülen mesajlar, araştırmacıları saldırganların GitHub deposuna yönlendirdi. Bu depoda SoftEther VPN uygulaması gibi aşamalı yapay nesneler bulunuyordu. ESET, SoftEther yapılandırma dosyasında Webworm'a ait bir IP adresi tespit etti. Ayrıca grup, WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi yeni özel proxy çözümleri kullanıyor. ESET'e göre Webworm, kurbanları proxy'lerini çalıştırmaya kandırarak daha geniş bir gizli ağ oluşturuyor. ChainWorm, proxy ağını genişletirken, WormFrp, güvenliği ihlal edilmiş bir AWS S3 bucket'ından yapılandırma alarak veri sızdırma işlemlerinde kurbanın faturasını kullanıyor.