· ESET Research a découvert et analysé les
activités et l'arsenal du groupe de menaces persistantes avancées (APT)
Webworm, lié à la Chine.
· En 2025, le groupe a commencé à utiliser de
portes dérobées exploitant Discord et l'API Microsoft Graph pour ses
communications de commande et de contrôle (C&C). ESET a déchiffré plus de
400 messages Discord.
· Parmi les outils récents les plus importants,
il y a deux nouvelles portes dérobées : EchoCreep, basée sur Discord, et
GraphWorm, basée sur Microsoft Graph.
· Récemment, Webworm a modifié ses efforts pour
cibler des organisations gouvernementales en Europe et a progressé en Afrique
du Sud.
BRATISLAVA, MONTREAL, le 22 mai 2026 — En 2025, les
chercheurs d'ESET ont analysé l'activité de Webworm. Ce groupe APT, lié à la
Chine, ciblait initialement des organisations en Asie, mais s'est récemment
tourné vers l'Europe. ESET a vu Webworm ciblant des organisations
gouvernementales en Belgique, en Italie, en Pologne, en Serbie et en Espagne.
Parallèlement, Webworm a aussi visé l’Afrique du Sud, compromettant une
université locale. Depuis l'an dernier, le groupe utilise des portes dérobées
exploitant Discord et l'API Microsoft Graph pour communiquer avec son serveur
de C&C. Les chercheurs ont déchiffré plus de 400 messages Discord et
découvert un serveur exploité par un attaquant, utilisé pour la reconnaissance
de plus de 50 cibles.
« Grâce à notre analyse, nous avons pu récupérer
des commandes exécutées depuis un serveur. Cela nous a donné un aperçu des
techniques d’accès initiales potentielles du groupe, en utilisant un scanner de
vulnérabilités open source et en identifiant certaines de ses cibles
privilégiées », explique Eric Howard, le chercheur d’ESET qui a découvert la
dernière activité de Webworm.
ESET attribue la campagne de 2025 à Webworm, sur
base d’informations découvertes après le déchiffrement des messages Discord
utilisés par la porte dérobée EchoCreep pour les communications C&C. Ces
informations ont conduit les chercheurs au dépôt GitHub des attaquants, contenant
des éléments préparés, dont l'application VPN SoftEther. Dans le fichier de
configuration de SoftEther, ESET a trouvé une adresse IP correspondant à une
adresse IP connue de Webworm.
Parmi leurs outils récents les plus importants,
on compte notamment deux nouvelles portes dérobées : EchoCreep, basée sur
Discord, et GraphWorm, basée sur Microsoft Graph. Si les auteurs de la menace
ont continué à utiliser des solutions de proxy existantes, ils ont aussi ajouté
des solutions personnalisées comme WormFrp, ChainWorm, SmuxProxy et WormSocket.
Compte tenu du nombre d’outils de proxy utilisés et de leur complexité, Webworm
pourrait créer un réseau caché plus vaste en incitant ses victimes à exécuter
ses proxys.
Webworm a commencé à exploiter Discord et l'API
Microsoft Graph comme serveur C&C. La porte dérobée EchoCreep utilise
Discord pour télécharger des fichiers, envoyer des rapports d'exécution et
recevoir des commandes. GraphWorm utilise l'API Microsoft Graph pour communiquer
avec son serveur C&C. ESET a découvert qu'il utilise exclusivement les
terminaux OneDrive, notamment pour obtenir de nouvelles missions et télécharger
les informations des victimes.
« Lors de notre enquête sur les campagnes
de 2025, nous avons aussi découvert que Webworm avait commencé à utiliser sa
solution de proxy personnalisée WormFrp pour récupérer des configurations à
partir d'un compartiment AWS S3 (S3 = simple storage service) compromis, une
solution de stockage cloud public disponible sur Amazon Web Services. Grâce à
ce compartiment S3, Webworm peut exfiltrer des données alors qu'une victime
sans méfiance paie la facture du service », explique Howard. Entre
décembre 2025 et janvier 2026, les opérateurs ont téléchargé 20 nouveaux
fichiers sur le service, dont deux exfiltrés d'une organisation gouvernementale
espagnole.
Le groupe continue à stocker des fichiers sur
GitHub et ESET suppose qu'à l’avenir, il continuera à le faire.
Pour plus de détails techniques sur les
nouvelles activités et l'arsenal de Webworm, consultez le dernier blog d'ESET
Research “Webworm: New burrowing techniques,”sur www.welivesecurity.com
Suivez ESET Research on Twitter (today known as X), BlueSky et Mastodon pour les dernières nouvelles.
À propos d'ESET
ESET® propose des solutions de cybersécurité de pointe pour prévenir les
attaques avant même qu'elles ne se produisent. En combinant la puissance de
l'IA et l'expertise humaine, ESET a une longueur d'avance sur les cybermenaces
mondiales émergentes, connues et inconnues, et protège les entreprises, les
infrastructures critiques et les particuliers. Qu'il s'agisse de protection des
terminaux, du cloud ou des appareils mobiles, les solutions et services ESET,
basés sur l'IA et conçus pour le cloud, sont extrêmement efficaces et faciles à
utiliser. La technologie ESET inclut une détection et une réponse robustes, un
chiffrement ultra-sécurisé et une authentification multi facteur. Grâce à une
défense en temps réel 24/7 et à un support local performant, SET assure la
sécurité des utilisateurs et la continuité des activités des entreprises.
L'évolution constante du paysage numérique exige une approche innovante de la
sécurité. ESET s'engage à mener des recherches de pointe et à fournir une
veille performante, soutenue par des centres de R&D et un solide réseau de
partenaires internationaux. Pour plus d'informations, consultez www.eset.com ou suivez ESET sur les réseaux
sociaux, ses podcasts, ses blogs et www.eset.com/be-fr.