22 mei 2026 16:27

ESET onthult arsenaal van aan China gelinkte Webworm die Europese regeringen en ook België viseert

ESET Research ontdekte en analyseerde de nieuwste activiteiten en het arsenaal van de aan China gelinkte APT-groep Webworm (Advanced Persistent Threat).

In 2025 analyseerde ESET Research de activiteiten van Webworm, een aan China gelinkte APT-groep die aanvankelijk organisaties in Azië viseerde, maar zich onlangs op Europa heeft gericht. ESET zag dat Webworm overheidsorganisaties in België, Italië, Polen, Servië en Spanje aanviel. Tegelijkertijd maakte Webworm ook een uitstapje naar Zuid-Afrika, waar een lokale universiteit werd gehackt. Sinds vorig jaar gebruikt de groep backdoors die Discord en de Microsoft Graph API gebruiken voor C&C-communicatie. ESET REsearch decodeerde meer dan 400 Discord-berichten en ontdekte een door de aanvaller beheerde server die voor verkenning tegen meer dan 50 verschillende doelwitten werd gebruikt.

“Dankzij onze analyse hebben we commando’s gevonden die vanaf een server werden uitgevoerd. Zo zagen we de mogelijke initiële toegangstechnieken van de groep en we hebben daarbij gebruikgemaakt van een open-source kwetsbaarheidsscanner. We konden ook enkele van hun belangrijkste doelwitten identificeren,” zegt Eric Howard, de ESET-onderzoeker die de meest recente activiteiten van Webworm ontdekte.

ESET schrijft de campagne van 2025 toe aan Webworm op basis van informatie ontdekt na het decoderen van de Discord-berichten die door de EchoCreep-backdoor werden gebruikt voor C&C-communicatie. Deze informatie leidde onderzoekers naar de GitHub-repository van de aanvallers, die geënsceneerde artefacten bevatte, zoals de SoftEther VPN-applicatie. In het configuratiebestand van SoftEther vond ESET een IP-adres dat overeenkomt met een bekend IP-adres van Webworm.

Onder hun belangrijkste nieuwe tools zijn er twee nieuwe backdoors: de op Discord gebaseerde EchoCreep en de op Microsoft Graph gebaseerde GraphWorm. Hoewel de aanvallers bestaande proxy-oplossingen blijven gebruiken, hebben ze ook bijgewerkte proxy-oplossingen toegevoegd, zoals WormFrp, ChainWorm, SmuxProxy en WormSocket. Door het aantal proxy-tools en hun complexiteit, kan het zijn dat Webworm een veel groter verborgen netwerk aan het uitbouwen is door slachtoffers te verleiden om hun proxies te gebruiken.

Bovendien begon Webworm Discord en de Microsoft Graph API te misbruiken als C&C-servers. De EchoCreep-backdoor gebruikt Discord om bestanden te uploaden, runtime-rapporten te verzenden en commando’s te ontvangen. GraphWorm gebruikt de Microsoft Graph API voor C&C-communicatie. ESET ontdekte dat het uitsluitend OneDrive-endpoints gebruikt en dit om nieuwe taken te krijgen en slachtofferinformatie te uploaden.

“Tijdens ons onderzoek naar de campagnes van 2025 ontdekten we ook dat Webworm zijn eigen proxy-oplossing WormFrp gebruikte om configuraties op te halen uit een gecompromitteerde AWS S3-bucket (S3 = simple storage service), een openbare cloudopslag-oplossing van Amazon Web Services. Webworm kan via deze S3-bucket data stelen, terwijl een nietsvermoedend slachtoffer de kosten voor de dienst draagt”, aldus Howard. Tussen december 2025 en januari 2026 uploadden de operatoren 20 nieuwe bestanden naar de dienst, waarvan er twee afkomstig waren van een Spaanse overheidsinstantie.

De groep blijft ook bestanden op GitHub plaatsen en ESET gaat ervan uit dat ze dat in de toekomst zullen blijven doen.

Meer technische details over de nieuwste activiteiten en het arsenaal van Webworm vindt u op de nieuwste blog van ESET Research “Webworm: New burrowing techniques” en op www.welivesecurity.com. Volg ook ESET Research op Twitter (today known as X), BlueSky en Mastodon voor de nieuwste Informatie.

Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.