Güvenlik uzmanları, başlangıçta Asya’daki kuruluşları hedef alan ancak son zamanlarda odağını Avrupa’ya kaydıran Çin bağlantılı bir gelişmiş kalıcı tehdit grubu (APT) olan Webworm’un 2025 yılındaki faaliyetlerini analiz etti. Webworm’un Belçika, İtalya, Polonya, Sırbistan ve İspanya’daki devlet kurumlarını hedef aldığını gözlemledi. Webworm aynı zamanda Güney Afrika’ya da girerek yerel bir üniversiteyi ele geçirdi.
Webworm’un son faaliyetlerini ortaya çıkaran Eric Howard “Analizimiz sayesinde, açık kaynaklı bir güvenlik açığı tarayıcısı kullanarak grubun potansiyel ilk erişim tekniklerine ilişkin bir fikir veren bir sunucudan yürütülen komutları kurtarmayı başardık ve odaklandığı hedeflerin bazılarını tespit ettik” açıklamasını yaptı.
EchoCreep arka kapısının C&C iletişimi için kullandığı Discord mesajlarının şifresini çözdükten sonra elde ettiği bilgilere dayanarak 2025 kampanyasını Webworm’a atfetti. Bu bilgiler, araştırmacıları saldırganların GitHub deposuna yönlendirdi; bu depoda SoftEther VPN uygulaması gibi hazırlanmış araçlar bulunuyordu. SoftEther yapılandırma dosyasında, bilinen bir Webworm IP adresiyle eşleşen bir IP adresi bulundu.
En son araçlarının başında iki yeni arka kapı geliyor: Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm. Tehdit aktörleri mevcut proxy çözümlerini kullanmaya devam ederken WormFrp, ChainWorm, SmuxProxy ve WormSocket’e özel proxy çözümleri de eklediler.
Proxy araçlarının sayısı ve karmaşıklığına bakıldığında, Webworm kurbanları proxy’lerini çalıştırmaya ikna ederek çok daha büyük bir gizli ağ oluşturuyor olabilir. Buna ek olarak, Webworm, Discord ve Microsoft Graph API’yi komuta ve kontrol (C&C) kanalları olarak kullanmaya başladı.
EchoCreep arka kapısı, dosya yüklemek, çalışma zamanı raporları göndermek ve komut almak için Discord’u kullanıyor. GraphWorm ise C&C iletişimi için Microsoft Graph API’yi kullanıyor; Güvenlik araştırmacıları, bu yazılımın özellikle yeni görevleri almak ve kurban bilgilerini yüklemek amacıyla yalnızca OneDrive uç noktalarını kullandığını ortaya çıkardı.
Eric Howard açıklamasında şu bilgilere yer verdi: “2025 kampanyalarını araştırırken Webworm’un, Amazon Web Services’te bulunan ve S3’ün basit depolama hizmeti anlamına geldiği bir genel bulut depolama çözümü olan, güvenliği ihlal edilmiş bir AWS S3 bucket yapılandırmaları almak için özel proxy çözümü WormFrp’yi kullanmaya başladığını keşfettik. Görünüşe göre Webworm, bu S3 bucket aracılığıyla veri sızdırma işlemlerinden yararlanırken masum kurbanlar hizmetin faturasını ödüyor.”
