· ESET Research ontdekte en analyseerde de
nieuwste activiteiten en het arsenaal van de aan China gelinkte APT-groep
Webworm (Advanced Persistent Threat).
· In 2025
begon de groep backdoors te gebruiken die Discord en de Microsoft Graph API
inzetten voor Command and Control (C&C)-communicatie. ESET heeft meer dan 400 Discord-berichten ontcijferd.
· Tot hun nieuwste tools behoren twee
backdoors: de op Discord gebaseerde EchoCreep en de op Microsoft Graph
gebaseerde GraphWorm.
· Onlangs verplaatste Webworm zijn focus
naar overheidsorganisaties in Europa en boekte het vooruitgang in Zuid-Afrika.
BRATISLAVA, MONTREAL, 22 mei 2026 — In 2025 analyseerde ESET Research de activiteiten van Webworm, een aan China gelinkte APT-groep die aanvankelijk organisaties in Azië viseerde, maar zich onlangs op Europa heeft gericht. ESET zag dat Webworm overheidsorganisaties in België, Italië, Polen, Servië en Spanje aanviel. Tegelijkertijd maakte Webworm ook een uitstapje naar Zuid-Afrika, waar een lokale universiteit werd gehackt. Sinds vorig jaar gebruikt de groep backdoors die Discord en de Microsoft Graph API gebruiken voor C&C-communicatie. ESET REsearch decodeerde meer dan 400 Discord-berichten en ontdekte een door de aanvaller beheerde server die voor verkenning tegen meer dan 50 verschillende doelwitten werd gebruikt.
"Dankzij onze analyse hebben we
commando's gevonden die vanaf een server werden uitgevoerd. Zo zagen we de
mogelijke initiële toegangstechnieken van de groep en we hebben daarbij
gebruikgemaakt van een open-source kwetsbaarheidsscanner. We konden ook enkele
van hun belangrijkste doelwitten identificeren," zegt Eric Howard, de ESET-onderzoeker
die de meest recente activiteiten van Webworm ontdekte.
ESET schrijft de campagne van 2025 toe aan
Webworm op basis van informatie ontdekt na het decoderen van de
Discord-berichten die door de EchoCreep-backdoor werden gebruikt voor C&C-communicatie.
Deze informatie leidde onderzoekers naar de GitHub-repository van de
aanvallers, die geënsceneerde artefacten bevatte, zoals de SoftEther
VPN-applicatie. In het configuratiebestand van SoftEther vond ESET een IP-adres
dat overeenkomt met een bekend IP-adres van Webworm.
Onder hun belangrijkste nieuwe tools zijn er twee
nieuwe backdoors: de op Discord gebaseerde EchoCreep en de op Microsoft Graph
gebaseerde GraphWorm. Hoewel de aanvallers bestaande proxy-oplossingen blijven gebruiken,
hebben ze ook bijgewerkte proxy-oplossingen toegevoegd, zoals WormFrp,
ChainWorm, SmuxProxy en WormSocket. Door het aantal proxy-tools en hun
complexiteit, kan het zijn dat Webworm een veel groter verborgen netwerk aan het
uitbouwen is door slachtoffers te verleiden om hun proxies te gebruiken.
Bovendien begon Webworm Discord en de
Microsoft Graph API te misbruiken als C&C-servers. De EchoCreep-backdoor
gebruikt Discord om bestanden te uploaden, runtime-rapporten te verzenden en
commando's te ontvangen. GraphWorm gebruikt de Microsoft Graph API voor C&C-communicatie.
ESET ontdekte dat het uitsluitend OneDrive-endpoints gebruikt en dit om nieuwe
taken te krijgen en slachtofferinformatie te uploaden.
"Tijdens ons onderzoek naar de campagnes
van 2025 ontdekten we ook dat Webworm zijn eigen proxy-oplossing WormFrp
gebruikte om configuraties op te halen uit een gecompromitteerde AWS S3-bucket
(S3 = simple storage service), een openbare cloudopslag=oplossing van Amazon
Web Services. Webworm kan via deze S3-bucket data stelen, terwijl een
nietsvermoedend slachtoffer de kosten voor de dienst draagt", aldus
Howard. Tussen december 2025 en januari 2026 uploadden de operatoren 20 nieuwe
bestanden naar de dienst, waarvan er twee afkomstig waren van een Spaanse overheidsinstantie.
De groep blijft ook bestanden op GitHub
plaatsen en ESET gaat ervan uit dat ze dat in de toekomst zullen blijven doen.
Meer technische details over de nieuwste
activiteiten en het arsenaal van Webworm vindt u op de nieuwste blog van ESET
Research “Webworm: New burrowing techniques,” en op www.welivesecurity.com . Volg ook ESET Research op Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste Informatie.
Over ESET
ESET® biedt geavanceerde cybersecurity om aanvallen te
voorkomen voor ze plaatsvinden. Door de kracht van AI te combineren met
menselijke expertise, blijft ESET de opkomende wereldwijde cyberdreigingen,
zowel bekende als onbekende, een stap voor en beveiligt bedrijven, kritieke
infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele
beveiliging, ESET’s AI-native, cloud-first oplossingen en services blijven zeer
effectief en gebruiksvriendelijk. Zijn technologie omvat robuuste detectie en
respons, ultrabeveiligde encryptie en multifactorauthenticatie. Met 24/7
realtime beveiliging en sterke lokale ondersteuning zorgt het bedrijf ervoor
dat gebruikers veilig zijn en bedrijven ongestoord kunnen blijven functioneren.
Het steeds veranderende digitale landschap vraagt een progressieve
beveiligingsbenadering. ESET zet zich in voor onderzoek van wereldklasse en
krachtige dreigingsinformatie, ondersteund door R&D-centra en een sterk
wereldwijd partnernetwerk. Bezoek, voor meer informatie, www.eset.com of volg
ESET op sociale media, luister naar de podcasts, lees de blogs en www.eset.com/be-nl.