ESET Research ha analizado durante 2025 la actividad de Webworm, un grupo de amenaza persistente avanzada (APT) vinculado a China que ha intensificado su presencia en Europa e incluido a España entre sus principales objetivos. Los investigadores de la compañía detectaron ataques dirigidos contra organismos gubernamentales en Bélgica, Italia, Polonia, Serbia y España. Además, entre diciembre de 2025 y enero de 2026, los operadores del grupo cargaron 20 nuevos archivos en un servicio comprometido, dos de ellos extraídos de una entidad gubernamental española.
De manera paralela, Webworm también desarrolló una operación en Sudáfrica, donde logró comprometer los sistemas de una universidad local. La investigación de ESET revela, asimismo, una evolución en las herramientas empleadas por el grupo, incorporando nuevas capacidades orientadas al mando y control, el reconocimiento de sistemas, el uso de proxies y la exfiltración de información.
“Gracias a nuestro análisis pudimos recuperar comandos ejecutados desde un servidor, lo que nos permitió comprender mejor las posibles técnicas de acceso inicial utilizadas por el grupo, entre ellas el empleo de un escáner de vulnerabilidades de código abierto, además de identificar algunos de sus objetivos prioritarios”, señala Eric Howard, responsable de descubrir la actividad más reciente de Webworm.
ESET atribuye esta campaña de 2025 al grupo Webworm tras descifrar más de 400 mensajes de Discord utilizados por EchoCreep, uno de los nuevos backdoors empleados por los atacantes. Ese trabajo de análisis llevó a los investigadores hasta un repositorio de GitHub utilizado por el grupo, donde encontraron archivos preparados para sus operaciones, entre ellos la aplicación SoftEther VPN. En la configuración de esta herramienta, los expertos localizaron una dirección IP coincidente con otra previamente asociada a Webworm.
Entre las herramientas más destacadas de esta campaña figuran EchoCreep, basado en Discord, y GraphWorm, basado en Microsoft Graph. EchoCreep utiliza Discord para subir archivos, enviar informes de ejecución y recibir comandos. GraphWorm, por su parte, emplea Microsoft Graph API para sus comunicaciones de mando y control y utiliza exclusivamente endpoints de OneDrive para obtener nuevas tareas y subir información de las víctimas.
El grupo también continúa utilizando soluciones proxy ya existentes, pero ha incorporado herramientas personalizadas como WormFrp, ChainWorm, SmuxProxy y WormSocket. Por el número de herramientas proxy y su complejidad, ESET considera que Webworm podría estar construyendo una red oculta de mayor alcance, engañando a las víctimas para que ejecuten sus soluciones proxy.
“Además, durante nuestra investigación, descubrimos que Webworm había empezado a utilizar su solución proxy personalizada WormFrp para recuperar configuraciones desde un bucket de AWS S3 comprometido, una solución de almacenamiento en la nube pública disponible en Amazon Web Services, donde S3 significa Simple Storage Service”, continúa Howard. “Resulta evidente que, a través de este bucket de S3, Webworm puede aprovecharlo para la exfiltración de datos mientras una víctima desprevenida asume el coste del servicio”.
Entre diciembre de 2025 y enero de 2026, los operadores subieron 20 nuevos archivos a ese bucket de AWS S3 comprometido, ente los cuales se encontraban los dos correspondientes a la entidad gubernamental en España. El grupo también sigue preparando archivos en GitHub, y ESET considera que continuará haciéndolo en el futuro.
Para más detalles técnicos sobre las actividades y el arsenal más recientes de Webworm, consulta la última entrada del blog de ESET Research, «Webworm: New burrowing techniques», en WeLiveSecurity.com.
