Aan China-gelieerde APT-groep Webworm verschuift focus naar EU

Dit blijkt uit een analyse uitgevoerd door onderzoekers van ESET. Sinds vorig jaar maakt Webworm gebruik van backdoors die Discord en de Microsoft Graph API inzetten voor command-and-controlcommunicatie (C&C). Via deze kanalen kunnen aanvallers opdrachten versturen, bestanden ontvangen en informatie van slachtoffers verzamelen. ESET-onderzoekers wisten meer dan 400 Discord-berichten te ontsleutelen en ontdekten een server die door de aanvallers werd gebruikt om meer dan 50 unieke doelwitten te verkennen.

Werkwijze in kaart gebracht

“Tijdens onze analyse konden we commando’s achterhalen die vanaf een server waren uitgevoerd. Daardoor kregen we zicht op mogelijke manieren waarop de groep initiële toegang probeert te krijgen, onder andere met behulp van een open-source kwetsbaarheidsscanner. Ook konden we een aantal gerichte doelwitten identificeren,” zegt ESET-onderzoeker Eric Howard, die de nieuwste activiteiten van Webworm ontdekte.

De campagne uit 2025 wordt door ESET toegeschreven aan Webworm op basis van informatie die werd gevonden na het ontsleutelen van Discord-berichten die door de EchoCreep-backdoor werden gebruikt voor C&C-communicatie. Deze informatie leidde onderzoekers naar een GitHub-repository van de aanvallers, waarin voorbereide bestanden stonden, waaronder de SoftEther VPN-applicatie. In het configuratiebestand van SoftEther trof ESET een IP-adres aan dat overeenkomt met een eerder bekend Webworm-IP-adres.

Nieuwe backdoors en proxytools

Webworm heeft twee nieuwe backdoors toegevoegd aan haar arsenaal: EchoCreep en GraphWorm. EchoCreep gebruikt Discord om bestanden te uploaden, runtime-rapportages te versturen en commando’s te ontvangen. GraphWorm maakt gebruik van de Microsoft Graph API voor C&C-communicatie en gebruikt daarbij uitsluitend OneDrive-endpoints om nieuwe taken op te halen en informatie van slachtoffers te uploaden.

Naast bestaande proxyoplossingen zijn ook aangepaste proxytools toegevoegd een het arsenaarl van Webworm, waaronder WormFrp, ChainWorm, SmuxProxy en WormSocket. Op basis van het aantal proxytools en de complexiteit ervan vermoedt ESET dat Webworm bezig is een veel groter verborgen netwerk op te bouwen, waarbij slachtoffers mogelijk worden misleid om proxy’s van de groep uit te voeren.

Focus op Europese overheden

De recente activiteiten van Webworm laten zien dat de groep haar focus heeft verlegd van Azië naar Europese doelwitten. Voor Europese landen, waaronder Nederland, benadrukt dit het belang van zicht op geavanceerde dreigingen, het misbruik van legitieme cloudplatformen en de inzet van bekende diensten zoals Discord, OneDrive en GitHub binnen aanvalscampagnes.

Tijdens het onderzoek naar de campagnes van 2025 ontdekten ESET-onderzoekers dat Webworm de eigen proxyoplossing WormFrp gebruikte om configuraties op te halen uit een gecompromitteerde AWS S3-bucket, een publieke cloudopslagdienst van Amazon Web Services. Tussen december 2025 en januari 2026 uploadden de aanvallers twintig nieuwe bestanden naar deze dienst. Twee daarvan bleken te zijn buitgemaakt bij een overheidsorganisatie in Spanje.

“Via deze S3-bucket kan Webworm vermoedelijk data exfiltreren, terwijl het nietsvermoedende slachtoffer opdraait voor de kosten van de dienst,” zegt Howard.

De groep blijft daarnaast bestanden klaarzetten via GitHub. ESET verwacht dat Webworm deze werkwijze ook in de toekomst zal blijven gebruiken.