El grupo APT Webworm extiende sus tentáculos a España

Según el estudio “Webworm: New burrowing techniques” de ESET Research, el grupo APT Webworm, considerado como alineado a los intereses de China, ha ido trasladando su interés de los países asiáticos a los europeos. De ellos, la compañía destaca Bélgica, Italia, Polonia, Serbia y España. De hecho, entre diciembre y enero el grupo subió a un servidor compartido 20 nuevos archivos, dos de ellos sacados de un organismo gubernamental español.

ESET explica que descifró 400 mensajes de Discord que utiliza EchoCreep, nuevo backdoors del grupo. Tras analizarlos, dieron con un repositorio de GitHub con archivos preparados para operar, como la aplicación SoftEther VPN, que contenía una dirección IP conocida por pertenecer a Webworm. Además de EchoCreep, utilizan GraphWorm, basado en Microsoft Graph.

Aparte de las soluciones proxy que utilizaba antes, ESET señala que el grupo ha empezado a utilizar herramientas personalizadas, entre las que menciona WormFrp, ChainWorm, SmuxProxy y WormSocket. La interpretación de la compañía es que Webworm parece estar creando “una red oculta de mayor alcance, engañando a las víctimas para que ejecuten sus soluciones proxy”.

Eric Howard, investigador de ESET, explica que, “gracias a nuestro análisis, pudimos recuperar comandos ejecutados desde un servidor, lo que nos permitió entender mejor las posibles técnicas de acceso inicial del grupo, incluido el uso de un escáner de vulnerabilidades de código abierto, así como identificar algunos de sus objetivos prioritarios”.