•   ESET Research a découvert et analysé les activités et l'arsenal du groupe de menaces persistantes avancées (APT) Webworm, lié à la Chine.

  •   En 2025, le groupe a commencé à utiliser de portes dérobées exploitant Discord et l'API Microsoft Graph pour ses communications de commande et de contrôle (C&C). ESET a déchiffré plus de 400 messages Discord.

  •   Parmi les outils récents les plus importants, il y a deux nouvelles portes dérobées : EchoCreep, basée sur Discord, et GraphWorm, basée sur Microsoft Graph.

  •   Récemment, Webworm a modifié ses efforts pour cibler des organisations gouvernementales en Europe et a progressé en Afrique du Sud.

En 2025, les chercheurs d'ESET ont analysé l'activité de Webworm. Ce groupe APT, lié à la Chine, ciblait initialement des organisations en Asie, mais s'est récemment tourné vers l'Europe. ESET a vu Webworm ciblant des organisations gouvernementales en Belgique, en Italie, en Pologne, en Serbie et en Espagne. Parallèlement, Webworm a aussi visé l’Afrique du Sud, compromettant une université locale. Depuis l'an dernier, le groupe utilise des portes dérobées exploitant Discord et l'API Microsoft Graph pour communiquer avec son serveur de C&C. Les chercheurs ont déchiffré plus de 400 messages Discord et découvert un serveur exploité par un attaquant, utilisé pour la reconnaissance de plus de 50 cibles.

« Grâce à notre analyse, nous avons pu récupérer des commandes exécutées depuis un serveur. Cela nous a donné un aperçu des techniques d’accès initiales potentielles du groupe, en utilisant un scanner de vulnérabilités open source et en identifiant certaines de ses cibles privilégiées », explique Eric Howard, le chercheur d’ESET qui a découvert la dernière activité de Webworm.

ESET attribue la campagne de 2025 à Webworm, sur base d’informations découvertes après le déchiffrement des messages Discord utilisés par la porte dérobée EchoCreep pour les communications C&C. Ces informations ont conduit les chercheurs au dépôt GitHub des attaquants, contenant des éléments préparés, dont l'application VPN SoftEther. Dans le fichier de configuration de SoftEther, ESET a trouvé une adresse IP correspondant à une adresse IP connue de Webworm.

Parmi leurs outils récents les plus importants, on compte notamment deux nouvelles portes dérobées : EchoCreep, basée sur Discord, et GraphWorm, basée sur Microsoft Graph. Si les auteurs de la menace ont continué à utiliser des solutions de proxy existantes, ils ont aussi ajouté des solutions personnalisées comme WormFrp, ChainWorm, SmuxProxy et WormSocket. Compte tenu du nombre d’outils de proxy utilisés et de leur complexité, Webworm pourrait créer un réseau caché plus vaste en incitant ses victimes à exécuter ses proxys.

Webworm a commencé à exploiter Discord et l'API Microsoft Graph comme serveur C&C. La porte dérobée EchoCreep utilise Discord pour télécharger des fichiers, envoyer des rapports d'exécution et recevoir des commandes. GraphWorm utilise l'API Microsoft Graph pour communiquer avec son serveur C&C. ESET a découvert qu'il utilise exclusivement les terminaux OneDrive, notamment pour obtenir de nouvelles missions et télécharger les informations des victimes.

« Lors de notre enquête sur les campagnes de 2025, nous avons aussi découvert que Webworm avait commencé à utiliser sa solution de proxy personnalisée WormFrp pour récupérer des configurations à partir d'un compartiment AWS S3 (S3 = simple storage service) compromis, une solution de stockage cloud public disponible sur Amazon Web Services. Grâce à ce compartiment S3, Webworm peut exfiltrer des données alors qu'une victime sans méfiance paie la facture du service », explique Howard. Entre décembre 2025 et janvier 2026, les opérateurs ont téléchargé 20 nouveaux fichiers sur le service, dont deux exfiltrés d'une organisation gouvernementale espagnole.

Le groupe continue à stocker des fichiers sur GitHub et ESET suppose qu'à l’avenir, il continuera à le faire.