Cibergrupo Webworm expande ataques na Europa

A Eset identificou uma expansão das operações do grupo de ciberespionagem Webworm, associado à China, com novos ataques direcionados a organizações governamentais na Europa e instituições académicas na África do Sul.

Segundo a empresa de cibersegurança, o cibergrupo, anteriormente mais ativo na Ásia, passou em 2025 a concentrar esforços em entidades localizadas na Bélgica, Itália, Polónia, Sérvia e Espanha. A investigação da Eset concluiu ainda que o Webworm comprometeu uma universidade sul-africana, reforçando o alargamento geográfico das operações do grupo.

De acordo com Eric Howard, investigador da Eset, o grupo tem vindo a utilizar backdoors que recorrem ao Discord e à API Microsoft Graph para comunicar com sistemas comprometidos e ocultar atividade maliciosa.

Os investigadores conseguiram descodificar mais de 400 mensagens trocadas através do Discord e identificaram um servidor controlado pelo grupo, utilizado para reconhecimento contra mais de 50 alvos distintos.

Segundo a Eset, a análise permitiu recuperar comandos executados pelos atacantes, ajudando a identificar possíveis métodos de acesso inicial, incluindo o recurso a scanners de vulnerabilidades open source.

A atribuição da campanha ao Webworm foi possível através da análise das mensagens Discord e da identificação de ferramentas alojadas num repositório GitHub associado aos atacantes. Entre os elementos encontrados estava uma configuração da aplicação SoftEther VPN contendo um endereço IP previamente relacionado com o grupo.

Entre as ferramentas recentemente identificadas estão o EchoCreep, que utiliza Discord para comunicação, e o GraphWorm, baseado na API Microsoft Graph. O grupo utiliza ainda ferramentas como WormFrp, ChainWorm, SmuxProxy e WormSocket para encaminhamento e ocultação de comunicações maliciosas.

Segundo a Eset, a diversidade e complexidade destas ferramentas indicam que o Webworm poderá estar a desenvolver uma infraestrutura oculta mais ampla, utilizando sistemas comprometidos como pontos intermédios de comunicação.

A investigação revelou também a utilização de uma ferramenta própria destinada a obter configurações a partir de serviços de armazenamento online comprometidos. Esta abordagem permitia recolher dados das vítimas e armazená-los em infraestruturas cujos custos eram suportados pelas entidades comprometidas.

Entre dezembro de 2025 e janeiro de 2026, os investigadores observaram o carregamento de 20 ficheiros para esse serviço, incluindo dois provenientes de uma entidade governamental em Espanha.

A Eset considera que o Webworm vai continuar a adaptar ferramentas e métodos de ataque, mantendo operações de espionagem direcionadas a organizações estratégicas na União Europeia.