O grupo de ciberespionagem Webworm, com ligações à China, mudou o seu foco principal da Ásia para a Europa, atacando diversas organizações governamentais em países como Espanha, Itália e Bélgica. Segundo os dados revelados pela ESET, os piratas informáticos estão a utilizar ferramentas populares de comunicação para manterem acesso remoto e recolherem informações sensíveis dos sistemas comprometidos de forma silenciosa.
O foco nas instituições europeias
Durante o ano de 2025, os especialistas de segurança observaram uma mudança clara nos alvos do Webworm. Para além de entidades governamentais na Polónia e na Sérvia, o grupo alargou as suas operações até à África do Sul, onde conseguiu comprometer a rede de uma universidade local.
A estratégia de intrusão revelou-se bastante engenhosa. Os atacantes desenvolveram ferramentas maliciosas e portas traseiras que comunicam discretamente através da plataforma Discord e da interface de programação da Microsoft Graph. Esta tática permitiu que a atividade ilícita se misturasse com o tráfego normal da internet, dificultando a sua deteção pelas equipas de segurança das instituições.
Eric Howard, investigador responsável pela descoberta, explicou que a equipa conseguiu descodificar mais de quatrocentas mensagens e identificar um servidor central gerido pelos atacantes. A partir desse ponto de controlo, o grupo realizou operações de reconhecimento a mais de meia centena de alvos diferentes, utilizando inclusive scanners de código aberto para detetar vulnerabilidades e pontos fracos nas defesas iniciais.
Táticas avançadas de espionagem
A evolução técnica do Webworm tem sido notória e reflete uma aposta em passar despercebido. A investigação conduziu as autoridades a um repositório no GitHub utilizado pelos atacantes, onde escondiam aplicações de redes privadas virtuais que foram ligadas diretamente a endereços IP já associados a este grupo criminoso.
Entre as novas armas digitais descobertas estão o EchoCreep e o GraphWorm, desenhados para extrair dados sem levantar suspeitas nos firewalls corporativos. Adicionalmente, o grupo emprega uma bateria de utilitários como o WormFrp, ChainWorm e SmuxProxy, que servem exclusivamente para redirecionar e ocultar todo o rasto de comunicações com a sua rede de controlo.
Um dos métodos mais recentes passa por roubar espaço de armazenamento online das próprias vítimas para guardar a informação exfiltrada. Desta forma, o grupo não gasta recursos próprios com servidores, transferindo os custos do alojamento dos ficheiros roubados para as entidades afetadas. Só entre dezembro de 2025 e janeiro de 2026, foram carregados dezenas de documentos para estes espaços, incluindo ficheiros subtraídos a uma entidade oficial em Espanha. A complexidade desta infraestrutura sugere que a ameaça vai continuar a evoluir, mantendo as organizações da União Europeia debaixo de uma vigilância constante.
Nenhum comentário
Seja o primeiro!