ESETは、Space Piratesおよびは UAT-8302として追跡されている中国系のAPTグループであるWebwormの2025年の活動分析を発表しました。2022年以来活動しているこのグループは、最初はアジアの標的に焦点を当てていましたが、最近ヨーロッパでの活動を拡大しました。
ESETは、2025年にWebwormがベルギー、イタリア、ポーランド、セルビア、スペインの政府機関を標的にしていることを確認しました。このグループは活動をアフリカ南部にも拡大し、研究者は地元大学を巻き込んだ活動を特定しました。
Discord メッセージがインフラと標的を露出
400以上のコマンド・アンド・コントロール(C&C)通信に使用されたDiscordメッセージを復号化することで、ESETはグループのインフラと操作を可視化しました。分析により、50以上のユニークな標的を含む偵察活動が明らかになりました。
「分析を通じて、私たちは、オープンソースの脆弱性スキャナーを使用した初期アクセス技術の可能性を示すサーバーから実行されたコマンドを復元でき、また焦点を当てた標的の一部を特定することができました」と、キャンペーンを調査したESET研究員のEric Howardは述べています。
復元された情報により、ESETは攻撃者が運用するGitHubリポジトリを発見しました。これはステージングされたマルウェアとサポートツールをホストするために使用され、被害者システムにダウンロードできました。
リポジトリにはSoftEther VPNアプリケーションを含むアーティファクトが含まれていました。研究者はSoftEther構成ファイルのIPアドレスを特定し、それが以前Webwormに関連付けられたインフラと一致することを確認しました。
フォークされたWordPressリポジトリ(出典: ESET)
新しいバックドア
ESETによると、グループの最新キャンペーンでは2つの新しいバックドア、EchoCreepとGraphWormが導入されました。
EchoCreepはC&Cコミュニケーションに Discord を使用し、攻撃者がファイルをアップロード、ランタイムレポートを送信、コマンドを受け取ることができます。
GraphWormはMicrosoft Graph APIとOneDriveエンドポイントに依存して、タスクを取得し、被害者情報をアップロードします。
グループはプロキシツールの使用を拡大しました。既存のプロキシ機能は、WormFrp、ChainWorm、SmuxProxy、WormSocketを含むカスタムツールで補完されました。これらのツールの数と複雑さに基づいて、ESETはWebwormが侵害されたシステムをプロキシインフラストラクチャとして使用することにより、より大きな隠されたネットワークを構築している可能性があると信じています。
調査中に、ESETはWebwormが侵害されたAWS S3バケットから設定を取得するためにWormFrpを使用し始めたことを発見しました。
「このS3バケットを通じて、Webwormはデータ流出を活用しながら、疑いを持たない被害者がサービスの費用を支払うことが明らかです」とHowardは述べています。
2025年12月と2026年1月の間に、Webworm運用者はサービスに20つの新しいファイルをアップロードし、そのうち2つはスペインの政府機関から流出していました。
ESETは、Webwormが引き続きGitHub上のファイルをステージングし、将来のキャンペーンでそのアプローチを維持することを期待していることに注意しました。
翻訳元: https://www.helpnetsecurity.com/2026/05/20/webworm-apt-campaign-targets-europe/
