Siber güvenlik alanında dünya lideri olan ESET, başlangıçta Asya’daki kuruluşları hedef alan ancak son zamanlarda odağını Avrupa’ya kaydıran Çin bağlantılı bir gelişmiş kalıcı tehdit grubu (APT) olan Webworm’un 2025 yılındaki faaliyetlerini analiz etti. ESET, Webworm’un Belçika, İtalya, Polonya, Sırbistan ve İspanya’daki devlet kurumlarını hedef aldığını gözlemledi. Webworm aynı zamanda Güney Afrika’ya da girerek yerel bir üniversiteyi ele geçirdi.
Geçen yıldan bu yana grup, C&C iletişimi için Discord ve Microsoft Graph API’sini kullanan arka kapılar kullanıyor. ESET araştırmacıları 400’den fazla Discord mesajının şifresini çözdü ve 50’den fazla benzersiz hedefe karşı keşif amacıyla kullanılan, saldırgan tarafından işletilen bir sunucu keşfetti.
Webworm’un son faaliyetlerini ortaya çıkaran ESET araştırmacısı Eric Howard “Analizimiz sayesinde, açık kaynaklı bir güvenlik açığı tarayıcısı kullanarak grubun potansiyel ilk erişim tekniklerine ilişkin bir fikir veren bir sunucudan yürütülen komutları kurtarmayı başardık ve odaklandığı hedeflerin bazılarını tespit ettik” açıklamasını yaptı. ESET, EchoCreep arka kapısının C&C iletişimi için kullandığı Discord mesajlarının şifresini çözdükten sonra elde ettiği bilgilere dayanarak 2025 kampanyasını Webworm’a atfetti. Bu bilgiler, araştırmacıları saldırganların GitHub deposuna yönlendirdi; bu depoda SoftEther VPN uygulaması gibi hazırlanmış araçlar bulunuyordu. SoftEther yapılandırma dosyasında, bilinen bir Webworm IP adresiyle eşleşen bir IP adresi bulundu.
En son araçlarının başında iki yeni arka kapı geliyor: Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm. Tehdit aktörleri mevcut proxy çözümlerini kullanmaya devam ederken WormFrp, ChainWorm, SmuxProxy ve WormSocket’e özel proxy çözümleri de eklediler. Proxy araçlarının sayısı ve karmaşıklığına bakıldığında, Webworm kurbanları proxy’lerini çalıştırmaya ikna ederek çok daha büyük bir gizli ağ oluşturuyor olabilir. Buna ek olarak, Webworm, Discord ve Microsoft Graph API’yi komuta ve kontrol (C&C) kanalları olarak kullanmaya başladı. EchoCreep arka kapısı, dosya yüklemek, çalışma zamanı raporları göndermek ve komut almak için Discord’u kullanıyor. GraphWorm ise C&C iletişimi için Microsoft Graph API’yi kullanıyor; ESET araştırmacıları, bu yazılımın özellikle yeni görevleri almak ve kurban bilgilerini yüklemek amacıyla yalnızca OneDrive uç noktalarını kullandığını ortaya çıkardı.
ESET araştırmacısı Eric Howard açıklamasında şu bilgilere yer verdi: “2025 kampanyalarını araştırırken Webworm’un, Amazon Web Services’te bulunan ve S3’ün basit depolama hizmeti anlamına geldiği bir genel bulut depolama çözümü olan, güvenliği ihlal edilmiş bir AWS S3 bucket yapılandırmaları almak için özel proxy çözümü WormFrp’yi kullanmaya başladığını keşfettik. Görünüşe göre Webworm, bu S3 bucket aracılığıyla veri sızdırma işlemlerinden yararlanırken masum kurbanlar hizmetin faturasını ödüyor.”
Aralık 2025 ile Ocak 2026 arasında operatörler, hizmete 20 yeni dosya yükledi; bunlardan ikisi İspanya’daki bir devlet kurumundan sızdırılmıştı.
Grup ayrıca GitHub’da dosya yayımlamaya devam ediyor ve ESET, gelecekte de bunu sürdüreceklerini varsayıyor.
