Investigadores de ESET han analizado las actividades del grupo APT Webworm en 2025, el cual está alineado con China. Originalmente enfocado en organizaciones asiáticas, el grupo ha ampliado su objetivo hacia Europa. Aunque esta es la primera publicación oficial sobre Webworm, sus actividades han sido monitorizadas desde 2022, cuando Symantec alertó sobre esta amenaza. A lo largo del tiempo, Webworm ha evolucionado sus tácticas, cambiando constantemente sus herramientas y métodos operativos.
Webworm está vinculado a otros grupos APT como SixLittleMonkeys y FishMonger, y ha utilizado malware conocido como McRat y Trochilus. Sin embargo, en los últimos años ha comenzado a implementar herramientas de proxy, tanto existentes como personalizadas, que son menos evidentes que los backdoors comunes. En 2025, el grupo introdujo dos nuevas puertas traseras en su arsenal: EchoCreep, que utiliza Discord para la comunicación de C&C, y GraphWorm, que utiliza Microsoft Graph API para el mismo fin. Una de sus estrategias incluye almacenar malware y herramientas en repositorios de GitHub, facilitando la descarga directa en los dispositivos de las víctimas.
Durante la investigación, se descifraron más de 400 mensajes de Discord y un archivo de historial de ejecutables localizados en un servidor de los operadores, donde se encontraban comandos de reconocimiento utilizados contra más de 50 objetivos únicos. Además de las nuevas puertas traseras, Webworm ha continuado utilizando una variedad de herramientas de proxy, con la adición de soluciones personalizadas como WormFrp, ChainWorm, SmuxProxy y WormSocket, diseñadas para asegurar comunicaciones encriptadas y mejorar la sigilosidad de sus actividades.
En 2025, Webworm no solo utilizó Discord y Microsoft Graph API para la comunicación de C&C, sino que también aprovechó un bucket de Amazon S3 comprometido para exfiltrar datos y obtener configuraciones. En octubre de 2025, se descubrió que habían subido herramientas de explotación a este bucket, incluyendo programas para obtener credenciales de sistemas Windows.
El grupo ha mostrado una notable capacidad para adaptarse, abandonando tácticas previamente utilizadas en Asia y dirigiendo sus esfuerzos hacia entidades gubernamentales en varios países europeos. Los ataques se centraron en países como Bélgica, Italia, Serbia y Polonia, y también se registraron incidentes en Sudáfrica.
La evolución de Webworm resalta la creciente amenaza que representan los grupos APT que buscan utilizar nuevas y más efectivas técnicas para comprometer a sus objetivos, destacando la importancia de la seguridad cibernética en un contexto global. Las víctimas identificadas han sido notificadas y se han tomado medidas para mitigar la amenaza, incluyendo la eliminación de algunos recursos comprometidos. Esta situación pone de manifiesto la necesidad de una vigilancia constante y la adaptación ante un panorama de amenazas en continua evolución.
Fuente: WeLiveSecurity by eSet.
