Avrupa’daki devlet kurumları, Çin bağlantılı gelişmiş kalıcı tehdit grubu Webworm‘un yeni bir siber saldırı dalgasıyla karşı karşıya. Dünyanın önde gelen siber güvenlik firmalarından ESET‘in 2025 yılına ait analizine göre, daha önce Asya’ya odaklanan grup artık Belçika, İtalya, Polonya, Sırbistan ve İspanya’daki devlet kurumlarını hedef alıyor. Saldırılar yalnızca Avrupa ile sınırlı kalmadı; Güney Afrika’da bir üniversite de ele geçirildi.
Webworm’un Yeni Taktikleri ve Araçları
Geçen yıldan bu yana Webworm, komuta ve kontrol (C&C) iletişimi için Discord ve Microsoft Graph API‘sini kullanan arka kapılar geliştirdi. ESET araştırmacıları 400’den fazla Discord mesajının şifresini çözdü ve 50’den fazla benzersiz hedefe karşı keşif amaçlı kullanılan bir sunucu tespit etti. Grubun en yeni araçları arasında Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm bulunuyor.
ESET araştırmacısı Eric Howard, “Analizimiz sayesinde, açık kaynaklı bir güvenlik açığı tarayıcısı kullanarak grubun potansiyel ilk erişim tekniklerine ilişkin bir fikir veren bir sunucudan yürütülen komutları kurtarmayı başardık ve odaklandığı hedeflerin bazılarını tespit ettik” dedi. Araştırmacılar, EchoCreep arka kapısının C&C için kullandığı Discord mesajlarının şifresini çözerek 2025 kampanyasını Webworm’a atfetti. Bu bilgiler, saldırganların GitHub deposuna yönlendirdi; burada SoftEther VPN gibi hazırlanmış araçlar bulunuyordu. SoftEther yapılandırma dosyasında, bilinen bir Webworm IP adresiyle eşleşen bir IP adresi tespit edildi.
Proxy Çözümleri ve Veri Sızdırma Yöntemleri
Webworm, mevcut proxy çözümlerine ek olarak WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi özel proxy araçları geliştirdi. ESET’e göre, proxy araçlarının sayısı ve karmaşıklığı, grubun kurbanları proxy’lerini çalıştırmaya ikna ederek daha büyük ve gizli bir ağ oluşturduğunu gösteriyor. EchoCreep arka kapısı dosya yüklemek, çalışma zamanı raporları göndermek ve komut almak için Discord’u kullanırken, GraphWorm Microsoft Graph API üzerinden yalnızca OneDrive uç noktalarını kullanarak yeni görevler alıyor ve kurban bilgilerini yüklüyor.
Eric Howard, “2025 kampanyalarını araştırırken Webworm’un, AWS S3 bucket yapılandırmaları almak için WormFrp’yi kullanmaya başladığını keşfettik. Görünüşe göre Webworm, bu S3 bucket aracılığıyla veri sızdırma işlemlerinden yararlanırken masum kurbanlar hizmetin faturasını ödüyor” açıklamasını yaptı.
Saldırıların Boyutu ve Gelecek Beklentileri
Aralık 2025 ile Ocak 2026 arasında Webworm operatörleri, hizmete 20 yeni dosya yükledi; bunlardan ikisi İspanya’daki bir devlet kurumundan sızdırılmıştı. Grup ayrıca GitHub’da dosya yayımlamaya devam ediyor ve ESET, bu faaliyetlerin gelecekte de süreceğini tahmin ediyor. Webworm’un Avrupa ve Afrika’daki hedeflere yönelmesi, siber güvenlik topluluğu için endişe verici bir gelişme olarak değerlendiriliyor. ESET, grubun taktiklerinin sürekli evrildiğini ve kurumların bu tür tehditlere karşı hazırlıklı olması gerektiğini vurguluyor.
Kaynak: Beyaz Haber Ajansı