Nel corso degli ultimi anni, il gruppo APT Webworm riconducibile alla Cina ha progressivamente abbandonato gli obiettivi asiatici per concentrarsi su enti governativi europei. I ricercatori di ESET hanno pubblicato un'analisi approfondita delle sue attività nel 2025, che hanno colpito organizzazioni governative in Belgio, Italia, Polonia, Serbia e Spagna, oltre a un'università in Sudafrica.

Webworm è noto almeno dal 2022, quando operava in Asia con le backdoor consolidate McRat e Trochilus. Il gruppo presenta sovrapposizioni con altri APT della stessa area geografica, tra cui SixLittleMonkeys e FishMonger. ESET ne monitora le attività fin dalla prima segnalazione pubblica e ha documentato un'evoluzione costante di tattiche, tecniche e procedure. Nel 2024 il gruppo aveva già iniziato ad abbandonare i Remote Access Trojan tradizionali in favore di strumenti di proxying più difficili da rilevare, come la VPN SoftEther. Nel 2025 questo processo evolutivo ha raggiunto un nuovo livello con l'introduzione di due backdoor inedite e di una serie di proxy personalizzati, che segnano una rottura netta con l'arsenale precedente.

La prima delle nuove backdoor è EchoCreep, scritta in linguaggio di programmazione Go, che utilizza Discord come server di comando e controllo. La seconda è GraphWorm, che sfrutta l'API Microsoft Graph con lo stesso scopo. È da notare che questa peculiarità sta iniziando ad essere diffusa fra gli APT della stessa area geografica: anche UAT-8302 sfrutta le API legittime di Microsoft Graph e OneDrive, così da far transitare tutto il traffico attraverso i servizi cloud Microsoft, di modo da ostacolare la distinzione delle comunicazioni malevole da quelle ordinarie.

Tornando a Webworm, le due nuove backdoor rappresentano un cambio di paradigma nell'infrastruttura di comando e controllo del gruppo. I ricercatori di ESET sono riusciti a decifrare oltre 400 messaggi Discord e a identificare quattro canali distinti, ciascuno corrispondente a una vittima diversa. I nomi dei canali corrispondevano all'indirizzo IP della vittima, talvolta combinato con l'hostname del sistema compromesso, a indicare che i canali venivano creati dagli operatori prima ancora dell'esecuzione della backdoor sul sistema target.

EchoCreep supporta quattro comandi principali: upload di file verso Discord, download da URL remoti, esecuzione di comandi tramite cmd.exe e modalità sleep. La backdoor riceve i comandi in formato cifrato AES-CBC-128 e codificati in base64, li decodifica e li esegue, quindi invia i report di runtime allo stesso canale Discord. La prima compromissione reale documentata risale al 9 aprile 2025, ma i messaggi più datati presenti nei log, databili tra marzo 2024 e marzo 2025, mostrano delle attività di test da parte degli operatori, incluse prove di configurazione di rete locale e comandi spazzatura usati per verificare la comunicazione.

GraphWorm si avvia automaticamente a ogni login dell'utente sulla macchina compromessa e utilizza esclusivamente endpoint OneDrive dell'API Microsoft Graph. Per ogni vittima viene creata una directory OneDrive separata. La backdoor usa l'endpoint /createUploadSession per caricare file di grandi dimensioni, sfruttando l'infrastruttura cloud Microsoft come vettore di esfiltrazione.

Sul fronte dei proxy, accanto agli strumenti open source già in uso, Webworm ha introdotto quattro soluzioni personalizzate: WormFrp, ChainWorm, SmuxProxy e WormSocket che si distinguono dai proxy standard perché cifrano le comunicazioni e supportano il concatenamento su più host, sia all'interno sia all'esterno della rete della vittima. L'ipotesi dei ricercatori è che il gruppo stia costruendo una rete nascosta più ampia, sfruttando i sistemi delle vittime come nodi proxy inconsapevoli, in combinazione con SoftEther VPN per aumentare la furtività complessiva delle operazioni. Tutta l'infrastruttura di proxy e VPN di Webworm si appoggia a server cloud controllati dai provider Vultr e IT7 Networks.

Un ulteriore elemento distintivo delle campagne 2025 è l'abuso di un bucket Amazon S3 compromesso per lo staging e l'esfiltrazione di dati. Webworm ha utilizzato WormFrp per recuperare configurazioni da un bucket S3 nella regione ap-south-1, ritenuto dai ricercatori la versione accessibile pubblicamente, o con policy mal configurata, di un bucket legittimo. Un'analisi iniziale dei file presenti nel bucket ha rivelato snapshot di macchine virtuali, uno dei quali conteneva la configurazione attiva di un sistema appartenente a un ente governativo italiano. Tra ottobre 2025 e gennaio 2026 gli operatori hanno caricato su quel bucket 20 nuovi file, due dei quali erano stati esfiltrati da un ente governativo spagnolo.

Per lo staging del malware il gruppo utilizza da tempo repository GitHub. Nel caso specifico, i messaggi Discord decifrati hanno condotto i ricercatori a un repository denominato WordPress, all'interno del cui file di configurazione i ricercatori hanno trovato un indirizzo IP già associato a Webworm in campagne precedenti.

Per quanto riguarda l'accesso iniziale, ESET non ha ancora identificato il vettore preciso utilizzato in tutte le compromissioni, ma ha raccolto elementi significativi. Sul server proxy operativo del gruppo era presente una directory aperta contenente strumenti open source di ricognizione, e in particolare strumenti per la scansione di path e directory su web server, e scanner di vulnerabilità. ESET ha già notificato le vittime identificate nei paesi citati nel report e ha coordinato il takedown del repository GitHub e del bucket S3 individuati nel corso dell'indagine.