I ricercatori di ESET hanno analizzato le attività del 2025 di Webworm, gruppo APT filocinese inizialmente attivo in Asia ma recentemente focalizzato sull’Europa. ESET ha osservato attacchi contro enti governativi in Belgio, Italia, Polonia, Serbia e Spagna, oltre alla compromissione di un’università in Sudafrica. Dallo scorso anno il gruppo utilizza backdoor che sfruttano Discord e l’API Microsoft Graph per le comunicazioni C&C. I ricercatori di ESET hanno decriptato oltre 400 messaggi Discord e individuato un server usato per attività di ricognizione contro più di 50 obiettivi.
“Grazie alla nostra analisi, abbiamo avuto la fortuna di recuperare i comandi eseguiti da un server che ci hanno permesso di comprendere le potenziali tecniche di accesso iniziale del gruppo, utilizzando uno scanner di vulnerabilità open source, oltre a identificare alcuni degli obiettivi principali”, sottolinea Eric Howard, researcher di ESET, che ha scoperto le ultime attività di Webworm.
ESET attribuisce la campagna 2025 a Webworm grazie alle informazioni ottenute decrittando i messaggi Discord usati dalla backdoor EchoCreep. Le tracce hanno condotto a un repository GitHub degli attaccanti contenente strumenti come SoftEther VPN; nel file di configurazione è stato trovato un indirizzo IP già associato a Webworm.
Tra gli strumenti più recenti figurano due nuove backdoor: EchoCreep, basata su Discord, e GraphWorm, che sfrutta Microsoft Graph. Pur continuando a utilizzare soluzioni proxy già note, il gruppo ha introdotto soluzioni proxy personalizzate quali WormFrp, ChainWorm, SmuxProxy e WormSocket, probabilmente per consolidare una rete nascosta più ampia sfruttando i sistemi delle vittime.
Inoltre, Webworm ha iniziato a sfruttare Discord e l’API Microsoft Graph come canali di C&C. La backdoor EchoCreep utilizza Discord per caricare file, inviare report di runtime e ricevere comandi. GraphWorm utilizza l’API Microsoft Graph per le comunicazioni C&C; i ricercatori di ESET hanno scoperto che utilizza esclusivamente endpoint OneDrive, in particolare per acquisire nuovi task e ottenere informazioni sulle vittime.
“Durante la nostra indagine sulle campagne del 2025, abbiamo poi scoperto che Webworm aveva iniziato a utilizzare la propria soluzione proxy personalizzata, WormFrp, per recuperare le configurazioni da un bucket AWS S3 compromesso, una soluzione di archiviazione su cloud pubblico disponibile su Amazon Web Services, dove S3 sta per Simple Storage Service. È evidente che attraverso questo bucket S3, Webworm può sfruttare l’esfiltrazione di dati mentre una vittima ignara paga il conto del servizio”, conclude Howard di ESET. Tra dicembre 2025 e gennaio 2026, gli operatori hanno caricato 20 nuovi file sul servizio, due dei quali erano stati esfiltrati da un ente governativo in Spagna.
Il gruppo continua a pubblicare file su GitHub ed ESET presume che continuerà a farlo anche in futuro.
