Siber güvenlik alanında faaliyet gösteren ESET, geçmişte ağırlıklı olarak Asya'daki kuruluşları hedef alan ancak son dönemde odağını Avrupa'ya kaydıran Çin bağlantılı siber tehdit grubu Webworm'un 2025 yılı faaliyetlerini inceledi. Yapılan incelemelerde, grubun Belçika, İtalya, Polonya, Sırbistan ve İspanya'daki devlet kurumlarını hedef aldığı belirlendi. Avrupa ülkelerinin yanı sıra Güney Afrika'ya da yönelen siber saldırganların, bölgedeki yerel bir üniversite siber ağını ele geçirdiği saptandı.
Söz konusu siber tehdit grubu, geçen yıldan bu yana komuta kontrol (C&C) iletişimini yürütmek amacıyla Discord ve Microsoft Graph API platformlarını kullanan arka kapı yazılımlarına başvuruyor. Güvenlik araştırmacıları, siber operasyonlar kapsamında iletilen 400'den fazla Discord mesajının şifresini çözmeyi başardı. Bu sayede, saldırganlar tarafından işletilen ve 50'den fazla benzersiz hedefe karşı keşif amacıyla kullanılan bir sunucu açığa çıkarıldı.
Yeni arka kapı yazılımları ve siber araçlar tespit edildi
Webworm'un son dönemdeki operasyonlarını inceleyen siber güvenlik uzmanı Eric Howard, açık kaynaklı bir güvenlik açığı tarayıcısı vasıtasıyla saldırganların komut zincirine ulaştıklarını belirtti. Elde edilen veriler, grubun sisteme ilk giriş tekniklerini ve odaklandığı hedefleri net bir şekilde gösteriyor. EchoCreep adlı arka kapı yazılımının Discord üzerindeki şifreli mesaj trafiğini çözen uzmanlar, 2025 yılındaki kampanyanın arkasında Webworm grubunun olduğunu kesinleştirdi. İncelemeler sırasında siber saldırganların GitHub deposuna da ulaşıldı. Bu depoda yer alan SoftEther VPN uygulamasının yapılandırma dosyasında, grubun bilinen IP adreslerinden biriyle eşleşen bir adres tespit edildi.
Grubun güncel operasyonlarında öne çıkan araçların başında EchoCreep ve GraphWorm adlı iki yeni arka kapı yazılımı geliyor. Tehdit aktörleri, mevcut proxy çözümlerinin yanı sıra WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi kendilerine özel geliştirdikleri proxy yazılımlarını da kullanıyor. Bu araçların sayıca fazla ve karmaşık olması, kurbanların siber ağlarını farkında olmadan geniş bir gizli ağın parçası haline getirdiğine işaret ediyor.
AWS bulut sistemleri üzerinden veri sızıntısı
Discord tabanlı EchoCreep yazılımı dosya yükleme, çalışma zamanı raporları gönderme ve komut alma işlevlerini yerine getirirken, GraphWorm ise Microsoft Graph API üzerinden iletişim sağlıyor. Uzmanlar, bu yazılımın yeni görevleri almak ve kurban verilerini yüklemek için yalnızca OneDrive uç noktalarından yararlandığını saptadı.
Süreci değerlendiren Eric Howard, şu detayları paylaştı: "2025 yılı kampanyalarını incelerken Webworm'un, Amazon Web Services (AWS) üzerinde yer alan güvenliği ihlal edilmiş bir S3 bulut depolama alanına ulaştığını gördük. Saldırganlar, bu sisteme erişmek için WormFrp adlı özel proxy çözümünü kullanıyor. Grup, tüm veri sızdırma işlemlerini bu S3 bucket alanı üzerinden yürütürken siber saldırıya uğrayan kuruluşlar siber altyapı maliyetleriyle karşı karşıya kalıyor."
Elde edilen verilere göre, Aralık 2025 ile Ocak 2026 tarihleri arasında siber korsanlar sisteme 20 yeni dosya yükledi. Bu dosyaların ikisinin İspanya’daki bir devlet kurumundan sızdırılan veriler olduğu anlaşıldı. Güvenlik analizleri, grubun siber operasyonlarında veri paylaşımı için GitHub platformunu kullanmaya devam edeceğini gösteriyor.