El equipo de investigación de ESET analiza las últimas actividades del grupo de amenazas persistentes avanzadas (APT) llamado Webworm, vinculado a China, que evoluciona sus tácticas y se apoya en plataformas legítimas.
El equipo de investigación de ESET analiza la actividad de Webworm en 2025, un grupo APT alineado con China que comenzó atacando a organizaciones en Asia, pero que recientemente cambió su enfoque hacia Europa. ESET observó que Webworm atacaba a organizaciones gubernamentales en Bélgica, Italia, Polonia, Serbia y España. Al mismo tiempo, hizo una incursión en Sudáfrica, comprometiendo una universidad local. Desde el año pasado, el grupo de ciberespionaje emplea backdoors que utilizan servicios cotidianos como Discord y la API de Microsoft Graph para la comunicación C&C (comando control). ESET descifró más de 400 mensajes de Discord y descubrió un servidor operado por el atacante que se utilizaba para el reconocimiento de más de 50 objetivos únicos.
«Gracias a nuestro análisis, tuvimos la suerte de recuperar comandos ejecutados desde un servidor que nos permitieron conocer las posibles técnicas de acceso inicial del grupo. Aunque no pudimos identificar el punto de entrada que Webworm utiliza para comprometer a sus víctimas, descubrimos que emplean un escáner de vulnerabilidades de código abierto, e identificamos algunos de sus objetivos específicos», explica Eric Howard, investigador de ESET, quien descubrió la actividad más reciente de Webworm.
Entre las herramientas más recientes identificadas se destacan dos nuevos backdoors: EchoCreep, que utiliza Discord para cargar archivos, enviar informes de ejecución y recibir comandos (C&C), y GraphWorm, que utiliza la API de Microsoft Graph también para la comunicación C&C. El equipo de ESET descubrió que utiliza exclusivamente puntos de conexión de OneDrive, concretamente para obtener nuevas tareas y cargar información de las víctimas. Además, el grupo es conocido por alojar su malware y herramientas en repositorios de GitHub, lo que permite que el malware se descargue directamente en la máquina de la víctima.
ESET atribuye la campaña de 2025 a Webworm basándose en la información descubierta tras descifrar los mensajes de Discord utilizados por un backdoor llamado EchoCreep para la comunicación C&C. La información condujo la investigación al repositorio de GitHub de los atacantes, que contenía artefactos preparados, como la aplicación SoftEther VPN. Dentro del archivo de configuración de SoftEther, ESET encontró una dirección IP que coincide con una IP conocida de Webworm.
«Durante nuestra investigación de las campañas de 2025, descubrimos que Webworm había comenzado a utilizar su solución de proxy personalizada, WormFrp, para recuperar configuraciones de un bucket de AWS S3 comprometido, una solución de almacenamiento en la nube pública disponible en Amazon Web Services, donde S3 significa «servicio de almacenamiento simple». Es evidente que, a través de este bucket S3, Webworm puede aprovechar la exfiltración de datos mientras una víctima desprevenida paga la factura del servicio», afirma Howard. Entre diciembre de 2025 y enero de 2026, los operadores subieron 20 archivos nuevos al servicio, dos de los cuales habían sido exfiltrados de una entidad gubernamental en España.
Las víctimas afectadas por Webworm en los países mencionados y detallados en la investigación, fueron debidamente notificadas por ESET. Además, los servicios identificamos, como un repositorio de GitHub y un bucket de S3, han sido dados de baja.