Investigadores da empresa europeia de cibersegurança ESET indicam que um grupo de ciberespionagem alinhado com a China, o Webworm, passou a concentrar-se mais em paises na Europa. Os investivadores começaram a analisar a atividade do Webworm, em 2025, e verificaram que o grupo começou por visar organizações na Ásia e que mais recentemente passou a visar organizações governamentais na Bélgica, Itália, Polónia, Sérvia e Espanha. Ao mesmo tempo, o grupo iniciou operações na África do Sul, comprometendo uma universidade local.
De acordo com os investigadores da ESET, o grupo tem vindo desde 2025 a utilizar backdoors, isto é, ferramentas maliciosas que permitem manter acesso remoto aos sistemas comprometidos, recorrendo ao Discord e à API do Microsoft Graph para comunicar com a infraestrutura dos atacantes.
Com a descodificação de mais de 400 mensagens do Discord, os investigadores da ESET descobriram um servidor operado pelo grupo de ciberespionagem, a partir do qual foram conduzidas ações de reconhecimento contra mais de 50 alvos distintos.
“A nossa análise permitiu recuperar comandos executados a partir de um servidor do grupo. Isso ajudou-nos a perceber possíveis técnicas de acesso inicial, incluindo o uso de um scanner de vulnerabilidades de código aberto e a identificar alguns dos seus alvos específicos”, explicou, citado em comunicado, Eric Howard, investigador da ESET e responsável pela descoberta das atividades mais recentes do Webworm.
A investigação da ESET permitiu atribuir a campanha ao Webworm, devido em particular à análise de mensagens do Discord usadas pelo grupo para comunicar com sistemas comprometidos. Uma análise que conduziu os investigadores ao repositório GitHub dos atacantes, onde estavam alojadas várias ferramentas, incluindo a aplicação SoftEther VPN. No ficheiro de configuração dessa aplicação, foi encontrado um endereço IP já associado ao Webworm.
Entre as ferramentas mais recentes identificadas pelos investigadores da ESET estão o EchoCreep, que usa o Discord, e o GraphWorm, que recorre ao Microsoft Graph para comunicar com sistemas comprometidos. O grupo de ciberespionagem tem também vindo a reforçar o uso de ferramentas destinadas a encaminhar e ocultar comunicações, incluindo WormFrp, ChainWorm, SmuxProxy e WormSocket. Dados da ESET, apontam que a quantidade e a complexidade destas ferramentas indicam que o grupo poderá estar a expandir uma infraestrutura oculta mais ampla, explorando os sistemas das vítimas para suportar essas comunicações.
“Durante a investigação das campanhas de 2025, descobrimos que o Webworm começou a usar uma ferramenta própria para obter configurações a partir de um espaço de armazenamento online comprometido. Isso permitia ao grupo recolher informação das vítimas e armazená-la nessa infraestrutura, enquanto os custos do serviço eram suportados pela entidade comprometida”, afirmou Eric Howard.
A ESET indicou que entre dezembro de 2025 e janeiro de 2026, membros do grupo de ciberespionagem carregaram 20 novos ficheiros para esse serviço, dois dos quais tinham sido retirados de uma entidade governamental em Espanha.
A atividade observada confirma que o Webworm continua a adaptar as suas ferramentas e métodos, e a ESET acredita que o grupo manterá este tipo de abordagens nas suas operações futuras, colocando em risco novas organizações e entidades estratégicas na União Europeia.
