Des chercheurs d’ESET Research ont mis au jour les nouvelles activités de Webworm, un groupe de menaces persistantes avancées (APT) opérant dans l’orbite des intérêts chinois. Initialement tourné vers l’Asie, ce groupe a radicalement repositionné ses cibles depuis 2025 : ce sont désormais des institutions gouvernementales européennes qui se retrouvent dans son collimateur — et les outils déployés pour les compromettre témoignent d’une sophistication croissante.
Un pivot stratégique vers l’Europe
ESET a observé Webworm cibler des organismes publics en Belgique, en Italie, en Pologne, en Serbie et en Espagne. Le groupe a également étendu ses opérations au continent africain, en compromettant une université en Afrique du Sud. Cette expansion géographique traduit une ambition de renseignement qui dépasse largement ses terrains de chasse historiques en Asie.
Entre décembre 2025 et janvier 2026, les opérateurs ont exfiltré des données depuis une entité gouvernementale espagnole, stockant les fichiers volés dans un bucket AWS S3 compromis — laissant ainsi la victime supporter les coûts du service cloud utilisé pour l’espionnage.
Discord et Microsoft Graph au service du cyberespionnage
L’une des évolutions les plus marquantes de Webworm réside dans l’adoption de plateformes grand public comme vecteurs de commandement. La porte dérobée EchoCreep exploite Discord pour recevoir des ordres, téléverser des fichiers et transmettre des rapports d’exécution. Sa cousine GraphWorm s’appuie quant à elle sur l’API Microsoft Graph — et plus précisément sur OneDrive — pour récupérer de nouvelles tâches et exfiltrer des données.
Cette stratégie n’est pas anodine : en noyant leurs communications malveillantes dans le trafic légitime de Discord et de Microsoft 365, les attaquants rendent leur détection infiniment plus complexe pour les équipes de sécurité.
Les chercheurs d’ESET ont réussi à déchiffrer plus de 400 messages Discord échangés entre les opérateurs et leurs implants, et ont remonté jusqu’au dépôt GitHub des attaquants — où étaient préparés à l’avance des outils comme l’application VPN SoftEther. C’est dans la configuration de ce logiciel qu’une adresse IP a permis d’attribuer formellement la campagne à Webworm.
Un arsenal proxy inédit
Au-delà des deux nouvelles backdoors, Webworm a développé ses propres solutions de proxy réseau : WormFrp, ChainWorm, SmuxProxy et WormSocket viennent s’ajouter aux outils tiers déjà utilisés. La diversité et la complexité de cet arsenal proxy laissent supposer que le groupe cherche à constituer un réseau clandestin étendu, en exploitant les machines de ses victimes comme relais à leur insu.
« Au cours de notre enquête, nous avons découvert que Webworm avait commencé à utiliser WormFrp pour récupérer des configurations depuis un bucket AWS S3 compromis. Il apparaît clairement que, grâce à ce stockage S3, Webworm peut exfiltrer des données tout en laissant une victime supporter les coûts du service », précise Eric Howard, chercheur chez ESET à l’origine de la découverte.
Des cibles explorées à grande échelle
L’analyse des messages Discord déchiffrés a permis d’identifier un serveur opéré par les attaquants, utilisé pour des opérations de reconnaissance contre plus de 50 cibles distinctes. Le déchiffrement a également révélé des indices sur les techniques d’accès initial du groupe, notamment le recours à un scanner de vulnérabilités open source.
Le groupe continue de préparer des outils sur GitHub, une pratique qu’ESET estime amenée à perdurer. Pour l’heure, la publication de l’analyse complète est disponible sur WeLiveSecurity.com, le blog de recherche d’ESET.
