Siber güvenlik alanında dünya lideri olan ESET, Webworm adlı Çin bağlantılı gelişmiş kalıcı tehdit grubunun 2025 yılına yönelik faaliyetlerini analiz etti. Başlangıçta Asya'daki kuruluşları hedef alan bu grup, son dönemlerde dikkatini Avrupa ülkelerine çevirmiştir. ESET’in gözlemlerine göre Webworm, özellikle Belçika, İtalya, Polonya, Sırbistan ve İspanya'daki devlet kurumlarını hedef almaktadır. Ayrıca, Güney Afrika'ya da yönelik bir saldırı gerçekleştirerek yerel bir üniversiteyi ele geçirmiştir.
Webworm, geçen yıldan bu yana iletişim kurmak için Discord ve Microsoft Graph API'sini kullanan arka kapılar geliştirmiştir. ESET araştırmacıları, 400'den fazla Discord mesajının şifresini çözdü ve saldırganın işletiminde olan bir sunucudan 50'den fazla benzersiz hedefe yönelik keşif amacıyla kullanılan veriler elde etmiştir.
Webworm’un son faaliyetlerini ortaya çıkaran ESET araştırmacısı Eric Howard, çalışmalarını şöyle özetlemektedir: “Analizimiz sayesinde, açık kaynaklı bir güvenlik açığı tarayıcısı kullanarak grubun potansiyel ilk erişim tekniklerine ilişkin bir fikir veren bir sunucudan yürütülen komutları kurtarmayı başardık ve odaklandığı hedeflerin bazılarını tespit ettik.” ESET, EchoCreep arka kapısının C&C iletişimi için kullandığı Discord mesajlarının şifresini çözdükten sonra elde ettiği bilgilere dayanarak 2025 kampanyasını Webworm’a atfetti. Bu bilgiler, araştırmacıların saldırganların GitHub deposuna yönlendirdi; bu depoda SoftEther VPN uygulaması gibi hazırlanmış araçlar mevcuttu. SoftEther yapılandırma dosyasında, bilinen bir Webworm IP adresi ile eşleşen bir IP adresi bulundu.
Webworm’un en son araçları arasında iki yeni arka kapı öne çıkmaktadır: Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm. Tehdit aktörleri mevcut proxy çözümlerini kullanmaya devam ederken, WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi özel proxy çözümleri de eklemişlerdir. Proxy araçlarının sayısı ve karmaşıklığı göz önüne alındığında, Webworm’un kurbanlarını proxy’lerini çalıştırmaya ikna ederek daha büyük bir gizli ağı oluşturma olasılığı bulunmaktadır.
Webworm, Discord ve Microsoft Graph API’yi komuta ve kontrol (C&C) kanalları olarak kullanmaya başlamıştır. EchoCreep arka kapısı, dosya yüklemek, çalışma zamanı raporları göndermek ve komut almak için Discord’u kullanırken; GraphWorm ise C&C iletişimi için Microsoft Graph API’den yararlanmaktadır. ESET araştırmacıları, bu yazılımın özellikle yeni görevleri almak ve kurban bilgilerini yüklemek amacıyla yalnızca OneDrive uç noktalarını kullandığını ortaya çıkarmıştır.
ESET araştırmacısı Eric Howard, “2025 kampanyalarını araştırırken Webworm’un, Amazon Web Services’de bulunan ve S3’ün basit depolama hizmeti anlamına geldiği bir genel bulut depolama çözümü olan, güvenliği ihlal edilmiş bir AWS S3 bucket yapılandırmaları almak için özel proxy çözümü WormFrp’yi kullanmaya başladığını keşfettik. Görünüşe göre Webworm, bu S3 bucket aracılığıyla veri sızdırma işlemlerinden yararlanırken masum kurbanlar hizmetin faturasını ödüyor” ifadesini kullanmıştır.
Aralık 2025 ile Ocak 2026 arasındaki dönemde, Webworm operatörleri hizmete 20 yeni dosya yüklemiştir. Bu dosyalardan ikisinin İspanya’daki bir devlet kurumundan sızdırıldığı belirtilmektedir. Grup ayrıca GitHub'da dosya yayımlamaya devam etmekte ve ESET, gelecekte de bu davranışlarını sürdüreceklerini varsaymaktadır.
