Grupo de ciberespionagem alinhado com a China expande operações na Europa

A ESET observou que o Webworm visava organizações governamentais na Bélgica, Itália, Polónia, Sérvia e Espanha. Ao mesmo tempo, o grupo iniciou operações na África do Sul, comprometendo uma universidade local.

Desde o ano passado, o grupo tem vindo a utilizar backdoors, isto é, ferramentas maliciosas que permitem manter acesso remoto aos sistemas comprometidos, recorrendo ao Discord e à API do Microsoft Graph para comunicar com a infraestrutura dos atacantes. Os investigadores da ESET descodificaram mais de 400 mensagens do Discord e descobriram igualmente um servidor operado pelo grupo, a partir do qual foram conduzidas ações de reconhecimento contra mais de 50 alvos distintos.

«A nossa análise permitiu recuperar comandos executados a partir de um servidor do grupo. Isso ajudou-nos a perceber possíveis técnicas de acesso inicial, incluindo o uso de um scanner de vulnerabilidades de código aberto e a identificar alguns dos seus alvos específicos», explica Eric Howard, investigador da ESET e responsável pela descoberta das atividades mais recentes do Webworm.

Esta campanha, observada em 2025, é atribuída pela ESET ao Webworm com base em informação recolhida durante a investigação, em particular na análise de mensagens do Discord usadas pelo grupo para comunicar com sistemas comprometidos. Essa análise conduziu os investigadores ao repositório GitHub dos atacantes, onde estavam alojadas várias ferramentas, incluindo a aplicação SoftEther VPN. No ficheiro de configuração dessa aplicação, foi encontrado um endereço IP já associado ao Webworm.

Entre as ferramentas mais recentes identificadas pela ESET estão o EchoCreep, que usa o Discord, e o GraphWorm, que recorre ao Microsoft Graph para comunicar com sistemas comprometidos. O grupo tem também vindo a reforçar o uso de ferramentas destinadas a encaminhar e ocultar comunicações, incluindo WormFrp, ChainWorm, SmuxProxy e WormSocket. Segundo a ESET, a quantidade e a complexidade destas ferramentas indicam que o grupo poderá estar a expandir uma infraestrutura oculta mais ampla, explorando os sistemas das vítimas para suportar essas comunicações.

«Durante a investigação das campanhas de 2025, descobrimos que o Webworm começou a usar uma ferramenta própria para obter configurações a partir de um espaço de armazenamento online comprometido. Isso permitia ao grupo recolher informação das vítimas e armazená-la nessa infraestrutura, enquanto os custos do serviço eram suportados pela entidade comprometida», afirma Howard.

Entre dezembro de 2025 e janeiro de 2026, membros do grupo carregaram 20 novos ficheiros para esse serviço, dois dos quais tinham sido retirados de uma entidade governamental em Espanha.

A atividade observada confirma que o Webworm continua a adaptar as suas ferramentas e métodos, e a ESET acredita que o grupo manterá este tipo de abordagens nas suas operações futuras, colocando em risco novas organizações e entidades estratégicas na União Europeia.