Slovakya merkezli siber güvenlik şirketi ESET, başlangıçta Asya’daki kuruluşları hedef alan ancak son dönemde odağını Avrupa’ya kaydıran Çin bağlantılı gelişmiş kalıcı tehdit (APT) grubu Webworm’un faaliyetlerini analiz etti. ESET Research tarafından yapılan incelemelerde; grubun Belçika, İtalya, Polonya, Sırbistan ve İspanya’daki devlet kurumlarını hedef aldığı belirlendi. Webworm’un ayrıca Güney Afrika’da yerel bir üniversitenin sistemlerine siber müdahalede bulunduğu gözlemlendi. Analizlerde, grubun komuta ve kontrol (C&C) iletişimi için Discord ve Microsoft Graph API altyapısını kullanan arka kapılar vasıtasıyla operasyon yürüttüğü tespit edildi. ESET araştırmacıları, şifresini çözdükleri 400’den fazla Discord mesajı ve ulaştıkları bir sunucu üzerinden 50’den fazla benzersiz hedefe yönelik keşif faaliyetini ortaya çıkardı.
EchoCreep ve GraphWorm arka kapıları tespit edildi
Webworm’un son dönem faaliyetlerini inceleyen ESET araştırmacısı Eric Howard, açık kaynaklı bir güvenlik açığı tarayıcısı kullanan grubun ilk erişim tekniklerine dair komutları kurtarmayı başardıklarını açıkladı. Yapılan incelemelerde, tehdit aktörlerinin portföyüne “EchoCreep” ve “GraphWorm” adlı iki yeni arka kapı eklediği belirlendi. Discord tabanlı EchoCreep arka kapısının dosya yüklemek, çalışma zamanı raporları göndermek ve komut almak amacıyla kullanıldığı; Microsoft Graph tabanlı GraphWorm’un ise yeni görevleri almak ve kurban bilgilerini yüklemek için özellikle OneDrive uç noktalarından yararlandığı rapor edildi.
Araştırmacılar, EchoCreep’in C&C iletişimi üzerinden elde edilen veriler doğrultusunda saldırganların GitHub deposuna ulaştı. Bu depoda yer alan SoftEther VPN uygulamasının yapılandırma dosyasında, bilinen bir Webworm IP adresiyle eşleşen bir IP adresi saptandı.
Özel proxy çözümleriyle gizli ağ oluşturuluyor
Tehdit grubunun mevcut proxy çözümlerinin yanı sıra WormFrp, ChainWorm, SmuxProxy ve WormSocket adını verdikleri özel proxy araçlarını da devreye soktuğu belirlendi. Uzmanlar, proxy araçlarının sayısal çokluğu ve karmaşıklığı dikkate alındığında, Webworm’un kurban sistemleri proxy çalıştırmaya ikna ederek daha büyük ve gizli bir ağ yapılandırmış olabileceğini değerlendiriyor.
Kurbanların bulut bütçeleriyle veri sızdırma yöntemi
ESET araştırmacısı Eric Howard, grubun Amazon Web Services (AWS) üzerinde yer alan ve güvenliği ihlal edilmiş AWS S3 bulut depolama alanlarından yapılandırma dosyası almak üzere “WormFrp” adlı özel proxy çözümünü kullanmaya başladığını aktardı. Howard, Webworm’un bu S3 depolama birimleri üzerinden veri sızdırma işlemleri gerçekleştirdiğini ve bu işlemlerin mali faturasının sistem güvenliği ihlal edilen taraflara yansıdığını ifade etti.
Elde edilen verilere göre, siber operasyonları yürüten aktörler Aralık 2025 ile Ocak 2026 tarihleri arasında söz konusu bulut servislerine 20 yeni dosya yükledi. Bu dosyalardan ikisinin İspanya’daki bir devlet kurumundan sızdırılan veriler olduğu belirlendi. Güvenlik uzmanları, grubun veri ve araç paylaşımı için GitHub platformunu kullanmaya devam edeceğini öngörüyor.
