I ricercatori di ESET hanno scoperto il nuovo arsenale di Webworm, APT filocinese attivo contro gli enti governativi europei e ha ampliato le operazioni di attacco in Sudafrica. La società ha osservato attacchi contro enti governativi in Belgio, Italia, Polonia, Serbia e Spagna, oltre alla compromissione di un’università in Sudafrica. Dallo scorso anno il gruppo utilizza backdoor che sfruttano Discord e l’API Microsoft Graph per le comunicazioni C&C. I ricercatori di ESET hanno decriptato oltre 400 messaggi Discord e individuato un server usato per attività di ricognizione contro più di 50 obiettivi.
Come agisce APT Webworm
Eric Howard, researcher di ESET
Grazie alla nostra analisi, abbiamo avuto la fortuna di recuperarei comandi eseguiti da un server. Essi ci hanno permesso di comprendere le potenziali tecniche di accesso iniziale del gruppo, utilizzando uno scanner di vulnerabilità open source. Oltre a identificare alcuni degli obiettivi principali.
La campagna 2025 Webworm
ESET attribuisce la campagna 2025 a Webworm grazie alle informazioni ottenute decrittando i messaggi Discord usati dalla backdoor EchoCreep. Le tracce hanno condotto a un repository GitHub degli attaccanti contenente strumenti come SoftEther VPN. Nel file di configurazione è stato trovato un indirizzo IP già associato a Webworm. Tra gli strumenti più recenti figurano due nuove backdoor: EchoCreep, basata su Discord, e GraphWorm, che sfrutta Microsoft Graph. Pur continuando a utilizzare soluzioni proxy già note, il gruppo ha introdotto soluzioni proxy personalizzate quali WormFrp, ChainWorm, SmuxProxy e WormSocket. Probabilmente per consolidare una rete nascosta più ampia sfruttando i sistemi delle vittime.
Il ruolo di Discord
Inoltre, Webworm ha iniziato a sfruttare Discord e l’API Microsoft Graph come canali di C&C. La backdoor EchoCreep utilizza Discord per caricare file, inviare report di runtime e ricevere comandi. GraphWorm utilizza l’API Microsoft Graph per le comunicazioni C&C. I ricercatori di ESET hanno scoperto che utilizza esclusivamente endpoint OneDrive, in particolare per acquisire nuovi task e ottenere informazioni sulle vittime.
APT, la scoperta dei ricercatori ESET
Eric Howard, researcher di ESET
Durante la nostra indagine sulle campagne del 2025, abbiamo poi scoperto che Webworm aveva iniziato a utilizzare la propria soluzione proxy personalizzata, WormFrp. Questo per recuperare le configurazioni da un bucket AWS S3 compromesso. Si tratta di una soluzione di archiviazione su cloud pubblico disponibile su Amazon Web Services, dove S3 sta per Simple Storage Service. È evidente che attraverso questo bucket S3, Webworm può sfruttare l’esfiltrazione di dati mentre una vittima ignara paga il conto del servizio.
Tra dicembre 2025 e gennaio 2026, gli operatori hanno caricato 20 nuovi file sul servizio, due dei quali erano stati esfiltrati da un ente governativo in Spagna. Il gruppo continua a pubblicare file su GitHub ed ESET presume che continuerà a farlo anche in futuro.
