Die China-nahe APT-Gruppe „Webworm“ richtet ihre Aktivitäten zunehmend gegen europäische Regierungsorganisationen und öffentliche Einrichtungen. Sicherheitsforscher von ESET analysierten aktuelle Kampagnen in Belgien, Italien, Polen, Serbien und Spanien und dokumentieren dabei einen deutlichen Strategiewechsel: Statt klassischer Command-and-Control-Server missbrauchen die Angreifer legitime Cloud- und Kommunikationsdienste wie Discord, Microsoft OneDrive, GitHub und AWS, um ihre Spionageaktivitäten zu tarnen und Sicherheitsmechanismen zu umgehen.
Foto: ESET
Robert Lipovsky, Principal Threat Intelligence Researcher bei ESET
Die zunehmende Professionalisierung China-naher Cybergruppen beschäftigt Sicherheitsverantwortliche in Europa seit Jahren. Nach Erkenntnissen der ESET-Forscher verschiebt sich der Fokus vieler chinesischer APT-Gruppen inzwischen deutlich Richtung Europa. Robert Lipovsky, Principal Threat Intelligence Researcher bei ESET, beschreibt diese Entwicklung als Teil eines größeren Trends: Chinesische Cyberespionage konzentriere sich längst nicht mehr ausschließlich auf Asien oder Taiwan, sondern zunehmend auch auf Europa, die USA, Afrika und Lateinamerika. Im aktuellen Fall steht dabei insbesondere die Gruppe „Webworm“ im Mittelpunkt, die laut ESET seit mindestens 2022 aktiv ist und verstärkt europäische Regierungsorganisationen ins Visier nimmt.
Besonders auffällig an den aktuellen Angriffen ist der Missbrauch legitimer Plattformen für die Steuerung kompromittierter Systeme. Webworm setzte laut ESET unter anderem Discord als Kommunikationskanal für Schadsoftware ein. Die Forscher identifizierten dabei eine neue Backdoor namens „EchoCreep“, die vollständig über die Discord-API kommuniziert.
Robert Lipovsky beschreibt die Funktionsweise als vergleichsweise schlicht, aber wirkungsvoll. EchoCreep unterstütze nur wenige Befehle – darunter Datei-Downloads, Datei-Uploads, Shell-Zugriffe und Schlafbefehle. Der eigentliche Innovationsgrad liege jedoch nicht in den Funktionen selbst, sondern in der Nutzung von Discord als Command-and-Control-Infrastruktur. Sämtliche Kommunikation der Malware werde über reguläre Discord-API-Endpunkte abgewickelt.
Die ESET-Analysten konnten mithilfe eines in den Samples enthaltenen Discord-Tokens mehr als 400 Nachrichten zwischen den kompromittierten Systemen und den Angreifern entschlüsseln. Die Nachrichten lieferten Einblicke in die operative Arbeitsweise der Gruppe sowie deren Zeitabläufe. Laut Lipovsky fanden viele Aktivitäten während typischer chinesischer Bürozeiten statt – inklusive einer erkennbaren Mittagspause.
Neben Discord setzte Webworm auch auf Microsoft OneDrive und die Microsoft Graph API. Die zweite neue Backdoor „GraphWorm“ kommunizierte direkt über Microsoft-Cloud-Dienste und legte für jedes Opfer eigene OneDrive-Verzeichnisse an, um Daten auszutauschen und Befehle zu empfangen.
ESET-Forscher Eric Howard erklärt:
„Die Gruppe versteckt ihre Aktivitäten gezielt innerhalb legitimer Cloud-Dienste. Das erschwert nicht nur die Erkennung, sondern hilft den Angreifern auch dabei, sich langfristig in kompromittierten Netzwerken zu bewegen.“
Webworm kombiniert legitime Cloud-Dienste, individuell entwickelte Backdoors und Proxy-Werkzeuge zu einer schwer erkennbaren Cyberespionage-Infrastruktur. (Quelle: ESET)
Ein weiterer Schwerpunkt der Kampagne liegt auf dem Aufbau verdeckter Kommunikationsnetzwerke. Webworm entwickelte laut ESET mehrere eigene Proxy- und Tunnelwerkzeuge, um Verbindungen zwischen kompromittierten Systemen zu verschleiern. Ziel sei es, die tatsächliche Infrastruktur der Angreifer zu verbergen und gleichzeitig die Erkennung durch Sicherheitslösungen zu erschweren.
Lipovsky zufolge investiert die Gruppe erhebliche Ressourcen in sogenannte „covert networks“. Dazu gehören sowohl angepasste Eigenentwicklungen als auch Open-Source-Werkzeuge wie SoftEther VPN oder FRP. Besonders bemerkenswert sei das Tool „ChainWorm“, das es ermögliche, Datenverkehr über beliebig viele kompromittierte Systeme weiterzuleiten. Dadurch entstehe eine mehrstufige Proxy-Infrastruktur, die Rückschlüsse auf die eigentlichen Betreiber erschwere.
Zusätzlich missbrauchte Webworm kompromittierte Cloud-Speicher. So fanden die Analysten verschlüsselte Konfigurationsdateien in einem manipulierten AWS-S3-Bucket, der ursprünglich zu einem indischen Schmuckhändler gehörte. Zwischen Dezember 2025 und Januar 2026 wurden dort mindestens 20 Dateien hochgeladen, darunter offenbar Daten aus einer spanischen Regierungsorganisation.
„Offenbar konnten die Angreifer kompromittierte Cloud-Speicher nicht nur für ihre Kommunikation nutzen, sondern auch für Datenexfiltration. Die betroffenen Organisationen trugen dabei unbemerkt sogar die Infrastrukturkosten der Angreifer",
erklät Howard.
Die Analyse zeigt außerdem, dass Webworm gezielt GitHub-Repositories für die Bereitstellung weiterer Schadsoftware missbrauchte. In einem Fall tarnte sich ein Repository als legitimer WordPress-Fork und enthielt neben regulären Dateien auch Schadsoftware und zusätzliche Werkzeuge im WordPress-Admin-Verzeichnis.
Besonders relevant für Unternehmen und Behörden ist dabei der vermutete Erstzugang der Angreifer. ESET geht davon aus, dass Webworm gezielt nach verwundbaren öffentlich erreichbaren Anwendungen sucht und ungepatchte Systeme kompromittiert. Hinweise darauf fanden die Analysten unter anderem in Log-Dateien und Werkzeugen zur Schwachstellenanalyse.
Lipovsky bezeichnet die Ausnutzung verwundbarer Webanwendungen als einen der dominierenden Angriffswege China-naher APT-Gruppen. Konkret verwies er auf veraltete Installationen der Webmail-Software SquirrelMail, die möglicherweise als Einstiegspunkt genutzt wurden.
„Wenn Organisationen noch immer solche Software einsetzen, ist das kein gutes Zeichen“,
erklärte Lipovsky.
Die Forscher identifizierten zudem Hinweise auf Aufklärungsaktivitäten gegen mehr als 50 potenzielle Ziele in Europa, darunter Einrichtungen in Belgien, Spanien, Ungarn, Tschechien und Serbien. Dabei kamen Open-Source-Werkzeuge wie „Nuclei“ und „DIR Search“ zum Einsatz, um Webserver auf Schwachstellen zu überprüfen.
Webworm ist laut ESET Teil eines komplexen Ökosystems China-naher APT-Gruppen mit gemeinsamen Werkzeugen, Infrastrukturkomponenten und Überschneidungen bei Angriffstechniken. (Quelle: ESET)
Für CISOs und IT-Sicherheitsverantwortliche zeigt die Analyse vor allem eines: Klassische Erkennungsmethoden stoßen zunehmend an Grenzen, wenn Angreifer legitime Cloud- und Kommunikationsplattformen missbrauchen. Verbindungen zu Discord, Microsoft Graph oder OneDrive erscheinen in vielen Umgebungen zunächst unauffällig. Genau darauf setzt Webworm.
Lipovsky empfiehlt daher, insbesondere ungewöhnliche Kommunikationsmuster genauer zu überwachen.
„Für viele Organisationen sollte es zumindest verdächtig wirken, wenn ausführbare Dateien mit Discord kommunizieren“,
so der ESET-Experte.
Darüber hinaus unterstreicht der Fall erneut die Bedeutung eines konsequenten Patch- und Schwachstellenmanagements. Nach Einschätzung von ESET nutzen nicht nur Webworm, sondern zahlreiche China-nahe APT-Gruppen gezielt bekannte Schwachstellen in öffentlich erreichbaren Anwendungen aus. Veraltete Systeme, unzureichend abgesicherte Webanwendungen und fehlende Transparenz über Cloud-Kommunikation erhöhen das Risiko erheblich.
Die aktuelle Kampagne zeigt zudem, wie flexibel moderne APT-Gruppen inzwischen agieren. Statt ausschließlich auf klassische Malware-Infrastruktur zu setzen, kombinieren sie Cloud-Dienste, Open-Source-Werkzeuge, Proxy-Netzwerke und individuell entwickelte Schadsoftware zu komplexen Angriffsketten. Für europäische Behörden und Unternehmen bedeutet das vor allem eines: Sicherheitsstrategien müssen künftig stärker auf Verhaltensanalyse, Cloud-Monitoring und die Erkennung ungewöhnlicher Kommunikationsmuster ausgerichtet werden.
