ESET Research ha analizado la actividad de Webworm en 2025, un grupo de amenaza persistente avanzada, APT, alineado con China que ha ampliado su actividad en Europa y ha incluido a España entre sus objetivos. Los investigadores de ESET observaron ataques contra organizaciones gubernamentales en Bélgica, Italia, Polonia, Serbia y España. Además, entre diciembre de 2025 y enero de 2026, los operadores del grupo subieron a un servicio comprometido 20 nuevos archivos, dos de ellos exfiltrados de una entidad gubernamental española.
De forma paralela, el grupo también llevó a cabo una incursión en Sudáfrica, donde comprometió una universidad local. La investigación de ESET muestra además una evolución de su arsenal, con nuevas herramientas para reforzar sus capacidades de mando y control, reconocimiento, uso de proxies y exfiltración de información.
“Gracias a nuestro análisis, pudimos recuperar comandos ejecutados desde un servidor, lo que nos permitió entender mejor las posibles técnicas de acceso inicial del grupo, incluido el uso de un escáner de vulnerabilidades de código abierto, así como identificar algunos de sus objetivos prioritarios”, explica Eric Howard, investigador de ESET que descubrió la actividad más reciente de Webworm.
ESET atribuye la campaña de 2025 a Webworm a partir de la información obtenida tras descifrar más de 400 mensajes de Discord utilizados por EchoCreep, uno de los nuevos backdoors del grupo. Ese análisis condujo a los investigadores hasta un repositorio de GitHub de los atacantes que contenía archivos preparados para su operación, entre ellos la aplicación SoftEther VPN. En el archivo de configuración de SoftEther, ESET encontró una dirección IP que coincide con una IP conocida de Webworm.
Entre las herramientas más destacadas de esta campaña figuran EchoCreep, basado en Discord, y GraphWorm, basado en Microsoft Graph. EchoCreep utiliza Discord para subir archivos, enviar informes de ejecución y recibir comandos. GraphWorm, por su parte, emplea Microsoft Graph API para sus comunicaciones de mando y control y utiliza exclusivamente endpoints de OneDrive para obtener nuevas tareas y subir información de las víctimas.
El grupo también continúa utilizando soluciones proxy ya existentes, pero ha incorporado herramientas personalizadas como WormFrp, ChainWorm, SmuxProxy y WormSocket. Por el número de herramientas proxy y su complejidad, ESET considera que Webworm podría estar construyendo una red oculta de mayor alcance, engañando a las víctimas para que ejecuten sus soluciones proxy.
“Además, durante nuestra investigación, descubrimos que Webworm había empezado a utilizar su solución proxy personalizada WormFrp para recuperar configuraciones desde un bucket de AWS S3 comprometido, una solución de almacenamiento en la nube pública disponible en Amazon Web Services, donde S3 significa Simple Storage Service”, continúa Howard. “Resulta evidente que, a través de este bucket de S3, Webworm puede aprovecharlo para la exfiltración de datos mientras una víctima desprevenida asume el coste del servicio”.
Entre diciembre de 2025 y enero de 2026, los operadores subieron 20 nuevos archivos a ese bucket de AWS S3 comprometido, ente los cuales se encontraban los dos correspondientes a la entidad gubernamental en España. El grupo también sigue preparando archivos en GitHub, y ESET considera que continuará haciéndolo en el futuro.
Para más detalles técnicos sobre las actividades y el arsenal más recientes de Webworm, consulta la última entrada del blog de ESET Research, «Webworm: New burrowing techniques», en WeLiveSecurity.com.