Siber güvenlik alanında dünya lideri olan ESET, başlangıçta Asya’daki kuruluşları gaye alan lakin son vakitlerde odağını Avrupa’ya kaydıran Çin irtibatlı bir gelişmiş kalıcı tehdit kümesi (APT) olan Webworm’un 2025 yılındaki faaliyetlerini tahlil etti. ESET, Webworm’un Belçika, İtalya, Polonya, Sırbistan ve İspanya’daki devlet kurumlarını gaye aldığını gözlemledi. Webworm tıpkı vakitte Güney Afrika’ya da girerek lokal bir üniversiteyi ele geçirdi.
Geçen yıldan bu yana küme, C&C irtibatı için Discord ve Microsoft Graph API’sini kullanan art kapılar kullanıyor. ESET araştırmacıları 400’den fazla Discord iletisinin şifresini çözdü ve 50’den fazla eşsiz maksada karşı keşif hedefiyle kullanılan, saldırgan tarafından işletilen bir sunucu keşfetti.
Webworm’un son faaliyetlerini ortaya çıkaran ESET araştırmacısı Eric Howard “Analizimiz sayesinde, açık kaynaklı bir güvenlik açığı tarayıcısı kullanarak kümenin potansiyel birinci erişim tekniklerine ait bir fikir veren bir sunucudan yürütülen komutları kurtarmayı başardık ve odaklandığı gayelerin kimilerini tespit ettik” açıklamasını yaptı. ESET, EchoCreep art kapısının C&C irtibatı için kullandığı Discord bildirilerinin şifresini çözdükten sonra elde ettiği bilgilere dayanarak 2025 kampanyasını Webworm’a atfetti. Bu bilgiler, araştırmacıları saldırganların GitHub deposuna yönlendirdi; bu depoda SoftEther VPN uygulaması üzere hazırlanmış araçlar bulunuyordu. SoftEther yapılandırma evrakında, bilinen bir Webworm IP adresiyle eşleşen bir IP adresi bulundu.
En son araçlarının başında iki yeni art kapı geliyor: Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm. Tehdit aktörleri mevcut proxy tahlillerini kullanmaya devam ederken WormFrp, ChainWorm, SmuxProxy ve WormSocket’e özel proxy tahlilleri de eklediler. Proxy araçlarının sayısı ve karmaşıklığına bakıldığında, Webworm kurbanları proxy’lerini çalıştırmaya ikna ederek çok daha büyük bir saklı ağ oluşturuyor olabilir. Buna ek olarak, Webworm, Discord ve Microsoft Graph API’yi komuta ve denetim (C&C) kanalları olarak kullanmaya başladı. EchoCreep art kapısı, belge yüklemek, çalışma vakti raporları göndermek ve komut almak için Discord’u kullanıyor. GraphWorm ise C&C bağlantısı için Microsoft Graph API’yi kullanıyor; ESET araştırmacıları, bu yazılımın bilhassa yeni vazifeleri almak ve kurban bilgilerini yüklemek gayesiyle sırf OneDrive uç noktalarını kullandığını ortaya çıkardı.
ESET araştırmacısı Eric Howard açıklamasında şu bilgilere yer verdi: “2025 kampanyalarını araştırırken Webworm’un, Amazon Web Services’te bulunan ve S3’ün kolay depolama hizmeti manasına geldiği bir genel bulut depolama tahlili olan, güvenliği ihlal edilmiş bir AWS S3 bucket yapılandırmaları almak için özel proxy tahlili WormFrp’yi kullanmaya başladığını keşfettik. Görünüşe nazaran Webworm, bu S3 bucket aracılığıyla bilgi sızdırma süreçlerinden yararlanırken saf kurbanlar hizmetin faturasını ödüyor.”
Aralık 2025 ile Ocak 2026 ortasında operatörler, hizmete 20 yeni evrak yükledi; bunlardan ikisi İspanya’daki bir devlet kurumundan sızdırılmıştı.
Grup ayrıyeten GitHub’da evrak yayımlamaya devam ediyor ve ESET, gelecekte de bunu sürdüreceklerini varsayıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
