ESET onthult arsenaal van aan China gelinkte Webworm die Europese regeringen en ook België viseert

 

·    ESET Research ontdekte en analyseerde de nieuwste activiteiten en het arsenaal van de aan China gelinkte APT-groep Webworm (Advanced Persistent Threat).

·      In 2025 begon de groep backdoors te gebruiken die Discord en de Microsoft Graph API inzetten voor Command and Control (C&C)-communicatie. ESET heeft meer dan 400 Discord-berichten ontcijferd.

·   Tot hun nieuwste tools behoren twee backdoors: de op Discord gebaseerde EchoCreep en de op Microsoft Graph gebaseerde GraphWorm.

·  Onlangs verplaatste Webworm zijn focus naar overheidsorganisaties in Europa en boekte het vooruitgang in Zuid-Afrika.

BRATISLAVA, MONTREAL, 22 mei 2026 — In 2025 analyseerde ESET Research de activiteiten van Webworm, een aan China gelinkte APT-groep die aanvankelijk organisaties in Azië viseerde, maar zich onlangs op Europa heeft gericht. ESET zag dat Webworm overheidsorganisaties in België, Italië, Polen, Servië en Spanje aanviel. Tegelijkertijd maakte Webworm ook een uitstapje naar Zuid-Afrika, waar een lokale universiteit werd gehackt. Sinds vorig jaar gebruikt de groep backdoors die Discord en de Microsoft Graph API gebruiken voor C&C-communicatie. ESET REsearch decodeerde meer dan 400 Discord-berichten en ontdekte een door de aanvaller beheerde server die voor verkenning tegen meer dan 50 verschillende doelwitten werd gebruikt.

 

"Dankzij onze analyse hebben we commando's gevonden die vanaf een server werden uitgevoerd. Zo zagen we de mogelijke initiële toegangstechnieken van de groep en we hebben daarbij gebruikgemaakt van een open-source kwetsbaarheidsscanner. We konden ook enkele van hun belangrijkste doelwitten identificeren," zegt Eric Howard, de ESET-onderzoeker die de meest recente activiteiten van Webworm ontdekte.

 

ESET schrijft de campagne van 2025 toe aan Webworm op basis van informatie ontdekt na het decoderen van de Discord-berichten die door de EchoCreep-backdoor werden gebruikt voor C&C-communicatie. Deze informatie leidde onderzoekers naar de GitHub-repository van de aanvallers, die geënsceneerde artefacten bevatte, zoals de SoftEther VPN-applicatie. In het configuratiebestand van SoftEther vond ESET een IP-adres dat overeenkomt met een bekend IP-adres van Webworm.

 

Onder hun belangrijkste nieuwe tools zijn er twee nieuwe backdoors: de op Discord gebaseerde EchoCreep en de op Microsoft Graph gebaseerde GraphWorm. Hoewel de aanvallers bestaande proxy-oplossingen blijven gebruiken, hebben ze ook bijgewerkte proxy-oplossingen toegevoegd, zoals WormFrp, ChainWorm, SmuxProxy en WormSocket. Door het aantal proxy-tools en hun complexiteit, kan het zijn dat Webworm een veel groter verborgen netwerk aan het uitbouwen is door slachtoffers te verleiden om hun proxies te gebruiken.

 

Bovendien begon Webworm Discord en de Microsoft Graph API te misbruiken als C&C-servers. De EchoCreep-backdoor gebruikt Discord om bestanden te uploaden, runtime-rapporten te verzenden en commando's te ontvangen. GraphWorm gebruikt de Microsoft Graph API voor C&C-communicatie. ESET ontdekte dat het uitsluitend OneDrive-endpoints gebruikt en dit om nieuwe taken te krijgen en slachtofferinformatie te uploaden.

 

"Tijdens ons onderzoek naar de campagnes van 2025 ontdekten we ook dat Webworm zijn eigen proxy-oplossing WormFrp gebruikte om configuraties op te halen uit een gecompromitteerde AWS S3-bucket (S3 = simple storage service), een openbare cloudopslag=oplossing van Amazon Web Services. Webworm kan via deze S3-bucket data stelen, terwijl een nietsvermoedend slachtoffer de kosten voor de dienst draagt", aldus Howard. Tussen december 2025 en januari 2026 uploadden de operatoren 20 nieuwe bestanden naar de dienst, waarvan er twee afkomstig waren van een Spaanse overheidsinstantie.

 

De groep blijft ook bestanden op GitHub plaatsen en ESET gaat ervan uit dat ze dat in de toekomst zullen blijven doen.

 

Meer technische details over de nieuwste activiteiten en het arsenaal van Webworm vindt u op de nieuwste blog van ESET Research “Webworm: New burrowing techniques,” en op www.welivesecurity.com . Volg ook ESET Research op Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste Informatie.

 

Over ESET

ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen voor ze plaatsvinden. Door de kracht van AI te combineren met menselijke expertise, blijft ESET de opkomende wereldwijde cyberdreigingen, zowel bekende als onbekende, een stap voor en beveiligt bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele beveiliging, ESET’s AI-native, cloud-first oplossingen en services blijven zeer effectief en gebruiksvriendelijk. Zijn technologie omvat robuuste detectie en respons, ultrabeveiligde encryptie en multifactorauthenticatie. Met 24/7 realtime beveiliging en sterke lokale ondersteuning zorgt het bedrijf ervoor dat gebruikers veilig zijn en bedrijven ongestoord kunnen blijven functioneren. Het steeds veranderende digitale landschap vraagt een progressieve beveiligingsbenadering. ESET zet zich in voor onderzoek van wereldklasse en krachtige dreigingsinformatie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek, voor meer informatie, www.eset.com of volg ESET op sociale media, luister naar de podcasts, lees de blogs en www.eset.com/be-nl.

 

ESET dévoile l'arsenal de Webworm, lié à la Chine ciblant des gouvernements européens, dont Belge

·    ESET Research a découvert et analysé les activités et l'arsenal du groupe de menaces persistantes avancées (APT) Webworm, lié à la Chine.

·    En 2025, le groupe a commencé à utiliser de portes dérobées exploitant Discord et l'API Microsoft Graph pour ses communications de commande et de contrôle (C&C). ESET a déchiffré plus de 400 messages Discord.

·      Parmi les outils récents les plus importants, il y a deux nouvelles portes dérobées : EchoCreep, basée sur Discord, et GraphWorm, basée sur Microsoft Graph.

·   Récemment, Webworm a modifié ses efforts pour cibler des organisations gouvernementales en Europe et a progressé en Afrique du Sud.

BRATISLAVA, MONTREAL, le 22 mai 2026 — En 2025, les chercheurs d'ESET ont analysé l'activité de Webworm. Ce groupe APT, lié à la Chine, ciblait initialement des organisations en Asie, mais s'est récemment tourné vers l'Europe. ESET a vu Webworm ciblant des organisations gouvernementales en Belgique, en Italie, en Pologne, en Serbie et en Espagne. Parallèlement, Webworm a aussi visé l’Afrique du Sud, compromettant une université locale. Depuis l'an dernier, le groupe utilise des portes dérobées exploitant Discord et l'API Microsoft Graph pour communiquer avec son serveur de C&C. Les chercheurs ont déchiffré plus de 400 messages Discord et découvert un serveur exploité par un attaquant, utilisé pour la reconnaissance de plus de 50 cibles.

 

« Grâce à notre analyse, nous avons pu récupérer des commandes exécutées depuis un serveur. Cela nous a donné un aperçu des techniques d’accès initiales potentielles du groupe, en utilisant un scanner de vulnérabilités open source et en identifiant certaines de ses cibles privilégiées », explique Eric Howard, le chercheur d’ESET qui a découvert la dernière activité de Webworm.

 

ESET attribue la campagne de 2025 à Webworm, sur base d’informations découvertes après le déchiffrement des messages Discord utilisés par la porte dérobée EchoCreep pour les communications C&C. Ces informations ont conduit les chercheurs au dépôt GitHub des attaquants, contenant des éléments préparés, dont l'application VPN SoftEther. Dans le fichier de configuration de SoftEther, ESET a trouvé une adresse IP correspondant à une adresse IP connue de Webworm.

 

Parmi leurs outils récents les plus importants, on compte notamment deux nouvelles portes dérobées : EchoCreep, basée sur Discord, et GraphWorm, basée sur Microsoft Graph. Si les auteurs de la menace ont continué à utiliser des solutions de proxy existantes, ils ont aussi ajouté des solutions personnalisées comme WormFrp, ChainWorm, SmuxProxy et WormSocket. Compte tenu du nombre d’outils de proxy utilisés et de leur complexité, Webworm pourrait créer un réseau caché plus vaste en incitant ses victimes à exécuter ses proxys.

 

Webworm a commencé à exploiter Discord et l'API Microsoft Graph comme serveur C&C. La porte dérobée EchoCreep utilise Discord pour télécharger des fichiers, envoyer des rapports d'exécution et recevoir des commandes. GraphWorm utilise l'API Microsoft Graph pour communiquer avec son serveur C&C. ESET a découvert qu'il utilise exclusivement les terminaux OneDrive, notamment pour obtenir de nouvelles missions et télécharger les informations des victimes.

 

« Lors de notre enquête sur les campagnes de 2025, nous avons aussi découvert que Webworm avait commencé à utiliser sa solution de proxy personnalisée WormFrp pour récupérer des configurations à partir d'un compartiment AWS S3 (S3 = simple storage service) compromis, une solution de stockage cloud public disponible sur Amazon Web Services. Grâce à ce compartiment S3, Webworm peut exfiltrer des données alors qu'une victime sans méfiance paie la facture du service », explique Howard. Entre décembre 2025 et janvier 2026, les opérateurs ont téléchargé 20 nouveaux fichiers sur le service, dont deux exfiltrés d'une organisation gouvernementale espagnole.

 

Le groupe continue à stocker des fichiers sur GitHub et ESET suppose qu'à l’avenir, il continuera à le faire.

 

Pour plus de détails techniques sur les nouvelles activités et l'arsenal de Webworm, consultez le dernier blog d'ESET Research “Webworm: New burrowing techniques,”sur www.welivesecurity.com

Suivez ESET Research on Twitter (today known as X), BlueSky et Mastodon pour les dernières nouvelles.

À propos d'ESET

ESET® propose des solutions de cybersécurité de pointe pour prévenir les attaques avant même qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET a une longueur d'avance sur les cybermenaces mondiales émergentes, connues et inconnues, et protège les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection des terminaux, du cloud ou des appareils mobiles, les solutions et services ESET, basés sur l'IA et conçus pour le cloud, sont extrêmement efficaces et faciles à utiliser. La technologie ESET inclut une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multi facteur. Grâce à une défense en temps réel 24/7 et à un support local performant, SET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche innovante de la sécurité. ESET s'engage à mener des recherches de pointe et à fournir une veille performante, soutenue par des centres de R&D et un solide réseau de partenaires internationaux. Pour plus d'informations, consultez www.eset.com  ou suivez ESET sur les réseaux sociaux, ses podcasts, ses blogs et www.eset.com/be-fr.

ESET versnelt AI-innovatie met investering om dit snel groeiende aanvalsoppervlak aan te pakken

 

●  ESET kondigt een investering aan van € 40 miljoen om zijn R&D-team uit te breiden en de ontwikkeling van fundamentele AI-modellen met cybersecurity als prioriteit te stellen om het versneld tot stand brengen van een gelaagde AI-stack en een nieuwe generatie AI SOC.

●   De nieuwe capaciteiten zullen AI-workflows beschermen, cybersecurity-specifieke AI versterken alsook een revolutie in de analyse en het begrip van cybersecurity-telemetrie teweeg brengen.

●    ESET heeft sinds maart 2026 bijna 800.000 unieke AI Skills gescand, waarvan er ongeveer 25.000 als verdacht aangemerkt zijn en meer dan 3.000 als kwaadaardig geblokkeerd werden.

ESET World, Berlijn, 19 mei 2026 — ESET, een wereldwijde leider in cybersecurity, heeft vandaag een investering van €40 miljoen aangekondigd in de toekomst van AI-gestuurde cybersecurity. Het bedrijf waarschuwt ook voor een snel opkomend nieuw aanvalsoppervlak, aangestuurd door autonome en agentische AI-systemen.

De investering – aangekondigd door ESET CEO Richard Marko op ESET World 2026  – is een reactie op de zichtbare verschuiving in de eigen data van ESET. Sinds maart 2026 hebben ESET-technologieën bijna 800.000 unieke AI-skills gescand – modulaire componenten die AI-agenten vertellen hoe ze taken moeten uitvoeren, welke tools ze moeten gebruiken, welke toegang tot services ze moeten krijgen en hoe ze moeten interageren met externe systemen. Ongeveer 25.000 van deze skills werden als verdacht geclassificeerd en meer dan 3.000 werden geblokkeerd gezien ze ronduit kwaadaardig waren. Dit is een dertien-voudige toename tegenover de ongeveer 60.000 publiekelijk beschikbare skills die begin dit jaar waargenomen zijn. Volgens ESET Research maken AI-skills deel uit van een snelgroeiende laag in de softwaretoeleveringsketen, die vaak gevoelige systemen verbindt met externe repositories, plug-ins, datasets en diensten van derden.

“Cybersecurity betreedt een compleet nieuw tijdperk”, zegt Richard Marko, CEO van ESET. “Artificiële intelligentie is nu niet alleen een instrument voor verdediging. Het wordt een onderdeel van het aanvalsoppervlak zelf. Onze investering zal ervoor zorgen dat AI de cyberbeveiliging versterkt en niet verzwakt – en technologieën ontwikkelt die organisaties beschermen in een wereld van autonome AI.”

Dit initiatief is bedoeld om de technologische onafhankelijkheid van ESET en de Europese soevereiniteit op het gebied van cyberbeveiliging te versterken, in een tijd waarin de toegang tot geavanceerde AI-systemen steeds meer geconcentreerd raakt bij een klein aantal wereldwijde technologiebedrijven. "Wij denken dat de toekomst van cybersecurity niet volledig afhankelijk kan zijn van modellen beheerst door Big Tech", aldus Marko. "In cybersecurity is soevereiniteit belangrijk."

De investering van €40 miljoen, ondersteund door een driejarig aanwervingsplan om het R&D-team van ESET op 1.000 onderzoekers en ingenieurs te brengen, richt zich op drie strategische gebieden: onafhankelijke, op beveiliging gerichte, fundamentele AI-modellen; een volledig gelaagde AI-beveiligingsstack en een AI SOC van de nieuwste generatie.

"ESET loopt al lang voorop in de toepassing van AI in cybersecurity", aldus Juraj Jánošík, vicepresident Artificial Intelligence bij ESET. "Nu verandert de rol van AI. AI-tools worden onderdeel van het dagelijkse werk, agentsystemen vergroten het aanvalsoppervlak en beveiligingsteams moeten sneller op bedreigingen reageren. Deze investering stelt ons in staat om over de hele breedte te werken: het beveiligen van AI-gebruik, het bouwen van AI-modellen voor cybersecurity en het integreren van autonome mogelijkheden in beveiligingsoperaties onder menselijk toezicht."

Onafhankelijke, op veiligheid gerichte, fundamentele AI-modellen

ESET zal de ontwikkeling versnellen van eigen, op beveiliging gerichte AI-modellen, ontworpen voor cybersecuritytoepassingen. In tegenstelling tot algemene AI-systemen getraind op brede internetcontent, zullen de ESET-modellen geoptimaliseerd worden met behulp van cybersecurity-telemetrie en real-world dreigingsinformatie die verzameld is in de bijna 35-jarige geschiedenis van ESET.

Het bedrijf zal zijn bestaande AI-technologieën (ESET LiveGrid, ESET LiveCortex en ESET LiveGuard) blijven uitbreiden en ook nieuwe AI-concepten onderzoeken, waaronder World Models die in staat zijn om gedrag, context en intentie binnen digitale omgevingen te begrijpen.

De uitbouw van een complete, gelaagde AI-beveiligingsstack

Vermits AI steeds meer in de dagelijkse bedrijfsvoering geïntegreerd raakt, bouwt ESET een uitgebreide, AI-native beveiligingsarchitectuur, ontworpen om organisaties te beschermen tegen opkomende, door AI gedreven risico's en bedreigingen. De investering omvat de ontwikkeling van ESET Secure AI Relay – een veilige laag tussen gebruikers, AI-agenten, bedrijfsapplicaties en AI-modellen.

Het cybersecuritybedrijf zal ook beveiligingsmaatregelen op netwerkniveau ontwikkelen voor de communicatie tussen AI-agenten. ESET AI Skills Checker (een gratis tool die op RSAC 2026 werd gelanceerd), samen met de verbeterde versies die in de ESET-producten zijn geïntegreerd, is specifiek ontworpen voor dit opkomende ecosysteem van agentische AI-systemen.

De bouw van een nieuwe generatie AI SOC

Een nieuwe generatie AI-technologieën voor Security Operations Centers (SOC's) wordt ontworpen om de groeiende schaal en complexiteit van moderne detectie- en responsomgevingen aan te pakken. In plaats van analisten door AI-agenten te vervangen, wil ESET de manier waarop cybersecurity-telemetrie wordt verwerkt, gecorreleerd en begrepen fundamenteel herzien. De visie van het bedrijf is om geavanceerde, door AI aangedreven cybersecurity toegankelijk te maken, niet enkel voor grote bedrijven, maar ook voor KMO’s en nog kleinere organisaties, door sterk geautomatiseerde, gecontroleerde beveiligingstechnologieën.

"Cybersecurity kan niet schalen door meer waarschuwingen, dashboards en complexiteit toe te voegen", besluit Marko. "De sector heeft nu een grote sprong voorwaarts nodig. Wij geloven dat AI moet helpen om cybersecurity van wereldklasse moeiteloos en voor iedereen beschikbaar te maken."

Over ESET

ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen voor ze plaatsvinden. Door de kracht van AI te combineren met menselijke expertise, blijft ESET de opkomende wereldwijde cyberdreigingen, zowel bekende als onbekende, een stap voor en beveiligt bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele beveiliging, ESET’s AI-native, cloud-first oplossingen en services blijven zeer effectief en gebruiksvriendelijk. Zijn technologie omvat robuuste detectie en respons, ultrabeveiligde encryptie en multifactorauthenticatie. Met 24/7 realtime beveiliging en sterke lokale ondersteuning zorgt het bedrijf ervoor dat gebruikers veilig zijn en bedrijven ongestoord kunnen blijven functioneren. Het steeds veranderende digitale landschap vraagt een progressieve beveiligingsbenadering. ESET zet zich in voor onderzoek van wereldklasse en krachtige dreigingsinformatie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek, voor meer informatie, www.eset.com of volg ESET op sociale media, luister naar de podcasts, lees de blogs en www.eset.com/be-nl.