Analitycy ESET wykryli nową serię cyberataków wymierzonych w europejskie instytucje rządowe, w tym te w Polsce. Stoi za nimi powiązana z Chinami grupa Webworm. Co ciekawe, przestępcy do szpiegowania i kradzieży danych wykorzystywali popularne, codzienne narzędzia – platformę Discord oraz chmurę OneDrive.
Chińska grupa cyberprzestępców Webworm, która dotychczas działała głównie w Azji, przeniosła swoje działania do Europy. Zaatakowała organizacje rządowe m.in. w Polsce, Belgii, Włoszech i Hiszpanii. Cyberprzestępcy sterowali swoimi złośliwymi programami za pomocą komunikatora Discord oraz biznesowych usług Microsoftu (takich jak dysk sieciowy OneDrive). Analitycy ESET odszyfrowali ponad 400 wiadomości na Discordzie, co pozwoliło odkryć serwer cyberprzestępców i namierzyć ponad 50 zainfekowanych celów.
Jak działali cyfrowi szpiedzy z Webworm?
Grupa Webworm sięgnęła po sprytną taktykę: zamiast tworzyć od zera skomplikowaną infrastrukturę, która szybko wzbudziłaby podejrzenia systemów ochronnych, ukrywała swój ruch wewnątrz legalnych programów, z których korzystają miliony ludzi na świecie. Eksperci zidentyfikowali dwa nowe, ukryte programy szpiegujące (tzw. backdoory), które otwierały atakującym tylne furtki do komputerów ofiar. EchoCreep wykorzystywał popularny wśród graczy i społeczności komunikator Discord do wysyłania raportów z zainfekowanego komputera i odbierania rozkazów. GraphWorm podszywał się pod ruch związany z usługami Microsoftu i używał dysku OneDrive do wykradania informacji o ofiarach oraz pobierania nowych zadań dla wirusa.
Skala i cele ataku
Przełom nastąpił, gdy analitycy ESET rozszyfrowali komunikację grupy Webworm. Dzięki temu trafili na ślady ukrytych serwerów i narzędzi grupy.
- Udało nam się odzyskać polecenia wykonywane z jednego z serwerów, co dało nam wgląd w potencjalne techniki używane przez tę grupę. Wykorzystywano m.in. open-source’owy skaner podatności, co pozwoliło nam także zidentyfikować niektóre z ich głównych celów – wyjaśnia Eric Howard, analityk firmy ESET, który wykrył najnowszą aktywność grupy Webworm.
Z analizy wynika, że celem cyberprzestępców jest przede wszystkim szpiegostwo i kradzież dokumentów. Na przełomie 2025 i 2026 roku wykorzystywali oni również chmurę Amazon Web Services (AWS) do wyprowadzania skradzionych danych. Analitycy potwierdzili m.in. wyciek poufnych plików z instytucji rządowej w Hiszpanii. Przedstawiciele ESET potwierdzają, że grupa wciąż działa, więc europejskie instytucje – w tym polskie – powinny przygotować się na kolejne próby ataków.
