Siber güvenlik alanında dünya lideri olan ESET, başlangıçta Asya’daki kuruluşları hedef alan ancak son zamanlarda odağını Avrupa’ya kaydıran Çin bağlantılı gelişmiş kalıcı tehdit grubu (APT) Webworm‘un 2025 yılındaki faaliyetlerini analiz etti.
Webworm’un Avrupa ve Afrika’daki Hedefleri
ESET, Webworm‘un Belçika, İtalya, Polonya, Sırbistan ve İspanya’daki devlet kurumlarını hedef aldığını gözlemledi. Grup ayrıca Güney Afrika’da yerel bir üniversiteyi ele geçirdi.
Yeni Komuta ve Kontrol Yöntemleri
Geçen yıldan bu yana Webworm, C&C iletişimi için Discord ve Microsoft Graph API’sini kullanan arka kapılar kullanıyor. ESET araştırmacıları 400’den fazla Discord mesajının şifresini çözdü ve 50’den fazla benzersiz hedefe karşı keşif amacıyla kullanılan, saldırgan tarafından işletilen bir sunucu keşfetti.
Yeni Araçlar ve Proxy Çözümleri
En son araçlar arasında iki yeni arka kapı bulunuyor: Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm. Tehdit aktörleri mevcut proxy çözümlerini kullanmaya devam ederken WormFrp, ChainWorm, SmuxProxy ve WormSocket‘e özel proxy çözümleri de eklediler. Proxy araçlarının sayısı ve karmaşıklığı, Webworm’un kurbanları proxy’lerini çalıştırmaya ikna ederek çok daha büyük bir gizli ağ oluşturduğunu gösteriyor.
Discord ve Microsoft Graph API Kullanımı
EchoCreep arka kapısı, dosya yüklemek, çalışma zamanı raporları göndermek ve komut almak için Discord’u kullanıyor. GraphWorm ise C&C iletişimi için Microsoft Graph API’yi kullanıyor. ESET araştırmacıları, GraphWorm’un özellikle yeni görevleri almak ve kurban bilgilerini yüklemek amacıyla yalnızca OneDrive uç noktalarını kullandığını ortaya çıkardı.
Özel Proxy Çözümü WormFrp ve AWS S3 Kullanımı
ESET araştırmacısı Eric Howard, “2025 kampanyalarını araştırırken Webworm’un, Amazon Web Services’te bulunan ve S3’ün basit depolama hizmeti anlamına geldiği bir genel bulut depolama çözümü olan, güvenliği ihlal edilmiş bir AWS S3 bucket yapılandırmaları almak için özel proxy çözümü WormFrp‘yi kullanmaya başladığını keşfettik. Görünüşe göre Webworm, bu S3 bucket aracılığıyla veri sızdırma işlemlerinden yararlanırken masum kurbanlar hizmetin faturasını ödüyor.” dedi.
2025 Sonu ve 2026 Başındaki Faaliyetler
Aralık 2025 ile Ocak 2026 arasında operatörler, hizmete 20 yeni dosya yükledi; bunlardan ikisi İspanya’daki bir devlet kurumundan sızdırılmıştı. Grup ayrıca GitHub’da dosya yayımlamaya devam ediyor ve ESET, gelecekte de bunu sürdüreceklerini varsayıyor.
ESET Hakkında
Avrupa merkezli ESET®, dünya çapında ofisleri bulunan bölgenin önde gelen siber güvenlik sağlayıcısıdır. Saldırıları gerçekleşmeden önlemek için en son teknolojiye sahip siber güvenlik çözümleri sunar. ESET, yapay zekâ ve insan uzmanlığının gücünü birleştirerek, bilinen ve bilinmeyen yeni küresel siber tehditlerin bir adım önünde yer alır; işletmeleri, kritik altyapıları ve bireyleri güvence altına alır.
İster uç nokta ister bulut veya mobil koruma olsun, yapay zekâ tabanlı, bulut öncelikli çözümleri ve hizmetleri son derece etkili ve kullanımı kolaydır. ESET teknolojisi “AB’de üretilmiştir” ve sağlam algılama ve yanıt, ultra güvenli şifreleme ve çok faktörlü kimlik doğrulama özelliklerini içerir. 7/24 gerçek zamanlı savunma ve güçlü yerel destek ile kullanıcıları güvende tutar ve işletmelerin kesintisiz çalışmasını sağlar.
Sürekli gelişen dijital ortam, güvenlik konusunda ilerici bir yaklaşım gerektirir: ESET, Ar-Ge merkezleri ve güçlü bir küresel iş ortağı ağıyla desteklenen, dünya çapında güçlü tehdit istihbaratı sunmaya kendini adamıştır.
Yorumlar kapalı.