- ESET Research heeft nieuwe activiteiten en tools van de aan China-gelieerde APT-groep Webworm onderzocht.
- De groep richtte zich recent op overheidsorganisaties in Europa, waaronder België, Italië, Polen, Servië en Spanje.
- In 2025 begon de groep backdoors te gebruiken die voor hun command-and-control (C&C)-communicatie gebruikmaken van Discord en de Microsoft Graph API.
- ESET-onderzoekers ontsleutelden meer dan 400 Discord-berichten en ontdekten een door aanvallers beheerde server die werd gebruikt voor verkenning van meer dan 50 unieke doelwitten.
- Tot de nieuwste tools behoren twee nieuwe backdoors: EchoCreep, gebaseerd op Discord, en GraphWorm, gebaseerd op Microsoft Graph.
Sliedrecht, 20 mei 2026 –ESET-onderzoekers hebben de activiteiten van Webworm in 2025 geanalyseerd. Webworm is een aan China-gelieerde advanced persistent threat-groep, ook wel APT-groep genoemd, die zich aanvankelijk richtte op organisaties in Azië, maar recent haar focus heeft verlegd naar Europa.
ESET ziet daarbij dat de groep aanvallen uitvoerde op overheidsorganisaties in België, Italië, Servië en Polen.Daarnaast breidde de groep haar activiteiten uit naar Zuid-Afrika, waar een universiteit werd gecompromitteerd.
Sinds vorig jaar maakt Webworm gebruik van backdoors die Discord en de Microsoft Graph API inzetten voor command-and-controlcommunicatie, ook wel C&C genoemd. Via deze communicatiekanalen kunnen aanvallers opdrachten versturen, bestanden ontvangen en informatie van slachtoffers verzamelen. ESET-onderzoekers wisten meer dan 400 Discord-berichten te ontsleutelen en ontdekten een server die door de aanvallers werd gebruikt om meer dan 50 unieke doelwitten te verkennen.
“Tijdens onze analyse konden we commando’s achterhalen die vanaf een server waren uitgevoerd. Daardoor kregen we zicht op mogelijke manieren waarop de groep initiële toegang probeert te krijgen, onder andere met behulp van een open-source kwetsbaarheidsscanner. Ook konden we een aantal gerichte doelwitten identificeren,” zegt ESET-onderzoeker Eric Howard, die de nieuwste activiteiten van Webworm ontdekte.
ESET schrijft de campagne uit 2025 toe aan Webworm op basis van informatie die werd gevonden na het ontsleutelen van Discord-berichten die door de EchoCreep-backdoor werden gebruikt voor C&C-communicatie. Die informatie leidde onderzoekers naar een GitHub-repository van de aanvallers, waarin voorbereide bestanden stonden, waaronder de SoftEther VPN-applicatie. In het configuratiebestand van SoftEther trof ESET een IP-adres aan dat overeenkomt met een eerder bekend Webworm-IP-adres.
Nieuwe backdoors en proxytools
De belangrijkste nieuwe tools in de werkwijze van Webworm zijn twee backdoors: EchoCreep en GraphWorm. De EchoCreep-backdoor gebruikt Discord om bestanden te uploaden, runtime-rapportages te versturen en commando’s te ontvangen. GraphWorm gebruikt de Microsoft Graph API voor C&C-communicatie en maakt daarbij uitsluitend gebruik van OneDrive-endpoints. Deze worden ingezet om nieuwe taken op te halen en informatie van slachtoffers te uploaden.
Naast bestaande proxyoplossingen heeft Webworm ook aangepaste proxytools toegevoegd aan zijn arsenaal, waaronder WormFrp, ChainWorm, SmuxProxy en WormSocket. Op basis van het aantal proxytools en de complexiteit ervan vermoedt ESET dat Webworm bezig is een veel groter verborgen netwerk op te bouwen, waarbij slachtoffers mogelijk worden misleid om proxy’s van de groep uit te voeren.
Europese overheden in beeld
De recente activiteiten laten zien dat Webworm zijn focus heeft verlegd van Azië naar Europese doelwitten. Voor Europese landen, waaronder Nederland, onderstreept dit opnieuw het belang van zicht op geavanceerde dreigingen, misbruik van legitieme cloudplatformen en de inzet van bekende diensten zoals Discord, OneDrive en GitHub binnen aanvalscampagnes.
Misbruik van publieke cloudopslag
Tijdens het onderzoek naar de campagnes van 2025 ontdekten ESET-onderzoekers ook dat Webworm de eigen proxyoplossing WormFrp gebruikte om configuraties op te halen uit een gecompromitteerde AWS S3-bucket. AWS S3 is een publieke cloudopslagdienst van Amazon Web Services.
“Via deze S3-bucket kan Webworm vermoedelijk data exfiltreren, terwijl het nietsvermoedende slachtoffer opdraait voor de kosten van de dienst,” zegt Howard.
Tussen december 2025 en januari 2026 uploadden de aanvallers twintig nieuwe bestanden naar de dienst. Twee daarvan bleken te zijn buitgemaakt bij een overheidsorganisatie in Spanje.
De groep blijft daarnaast bestanden klaarzetten via GitHub. ESET verwacht dat Webworm deze werkwijze ook in de toekomst zal blijven gebruiken.
Meer technische details over de nieuwste activiteiten en het arsenaal van Webworm zijn te vinden in de nieuwste ESET Research-blogpost “Webworm: New burrowing techniques” op WeLiveSecurity.com. Volg ESET Research op Twitter (X) en BlueSky voor de laatste updates.
Over ESET
ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en managed MDR en SOC diensten zijn zeer effectief en gebruiksvriendelijk. ESET's bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Onze managed MDR en-/of SOC diensten bieden 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig research onderzoek en betrouwbare Cyber Threat Intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en X.
