El grupo de ciberespionaje Webworm dirige sus ataques hacia los gobiernos europeos

A lo largo de mis siete años de trayectoria profesional documentando incidentes de ciberseguridad y analizando la evolución del ecosistema digital, he notado una tendencia estructural alarmante: los actores de amenazas más peligrosos persisten y evolucionan ocultándose a plena vista. Recientemente, el equipo de investigación de ESET ha revelado las operaciones del año 2025 de Webworm, un grupo de Amenazas Persistentes Avanzadas (APT) vinculado a China. Este colectivo ha sofisticado sus tácticas de intrusión de manera radical, apoyándose en plataformas legítimas de uso cotidiano para infiltrarse en redes gubernamentales sin levantar sospechas.

Evolución de los objetivos y alcance geográfico

Históricamente, el radar de la ciberseguridad global ubicaba las operaciones principales de Webworm en el continente asiático. Sin embargo, la telemetría reciente demuestra un giro estratégico drástico, apuntando ahora directamente hacia el territorio europeo.

Los investigadores de ESET han detectado ataques dirigidos específicamente a organizaciones gubernamentales de alto perfil en países como Bélgica, Italia, Polonia, Serbia y España. Además de su ofensiva coordinada en Europa, el grupo logró realizar incursiones exitosas en Sudáfrica, comprometiendo la infraestructura tecnológica de una universidad local, lo que demuestra su alta capacidad de despliegue global e interés en la propiedad intelectual académica.

Tácticas de intrusión utilizando plataformas legítimas

El aspecto más crítico de esta campaña radica en la metodología de ataque. Para evadir los sistemas de prevención de intrusiones (IPS) y los firewalls de próxima generación, Webworm ha adoptado la táctica de utilizar servicios de software legítimos para sus comunicaciones de Comando y Control (C&C). Al emplear tráfico cifrado hacia plataformas de uso diario, el flujo de datos maliciosos se camufla perfectamente dentro de la actividad normal de una red estatal.

Durante la investigación, el equipo de ESET logró un hito técnico al descifrar más de 400 mensajes interceptados en la plataforma Discord. Esta operación permitió descubrir un servidor operado directamente por los ciberdelincuentes, utilizado para realizar tareas de reconocimiento avanzado sobre más de 50 objetivos únicos a nivel mundial. Según Eric Howard, investigador responsable de este hallazgo, la recuperación de estos comandos fue vital para comprender las técnicas de acceso inicial, revelando que el grupo utiliza potentes escáneres de vulnerabilidades de código abierto para identificar brechas en el perímetro de las víctimas.

Nuevas herramientas de comunicación y control

El arsenal de Webworm se ha actualizado con dos puertas traseras (backdoors) de última generación, cuyas características técnicas demuestran un profundo conocimiento de los entornos corporativos modernos:

• EchoCreep: Este desarrollo de malware utiliza la infraestructura de la popular aplicación de mensajería Discord. A través de ella, logra cargar archivos extraídos, enviar informes detallados de la ejecución en el sistema vulnerado y recibir nuevos comandos desde los operadores, todo bajo la apariencia de tráfico de chat ordinario.
• GraphWorm: Esta puerta trasera es aún más furtiva, ya que aprovecha la API oficial de Microsoft Graph. Los analistas descubrieron que GraphWorm interactúa exclusivamente con los puntos de conexión de Microsoft OneDrive. Utiliza el almacenamiento en la nube de Microsoft como un puente seguro para obtener nuevas rutinas de ataque y subir la información robada de los servidores comprometidos.

Adicionalmente, el grupo APT tiene la costumbre de alojar su código malicioso y sus herramientas de intrusión en repositorios públicos de GitHub. Esta táctica permite que el malware se descargue de forma directa y automatizada en la máquina de la víctima desde un dominio de alta confianza que nunca es bloqueado por las políticas de seguridad de TI.

El papel de los servicios en la nube en la filtración de datos

La explotación de recursos no se limita a las comunicaciones; también abarca la exfiltración masiva de datos. Durante las investigaciones de las campañas de 2025 y principios de 2026, se descubrió que Webworm implementó una solución de proxy personalizada conocida como WormFrp.

Esta herramienta de red se utilizó para recuperar configuraciones de un bucket de Amazon Web Services (AWS S3) que había sido previamente hackeado. El uso de almacenamiento en la nube pública es una táctica brillante: los atacantes aprovechan la infraestructura robusta de AWS para transferir grandes volúmenes de datos robados, mientras que la víctima original del bucket asume los altos costos de facturación del servicio. Entre diciembre de 2025 y enero de 2026, los operadores de Webworm subieron 20 archivos nuevos a este repositorio, incluyendo documentos confidenciales extraídos con éxito de una entidad gubernamental en España.

Atribución de la campaña y respuesta operativa

La atribución de estos incidentes complejos a Webworm fue el resultado de un análisis forense impecable. Tras descifrar las comunicaciones de EchoCreep en Discord, los rastros digitales condujeron a los investigadores hacia un repositorio específico de GitHub. Allí encontraron artefactos listos para su despliegue, como versiones alteradas de la aplicación SoftEther VPN. Dentro de los archivos de configuración de este software, ESET localizó una dirección IP que coincidía exactamente con la infraestructura conocida históricamente de Webworm, confirmando la identidad de los atacantes.

Como parte del protocolo de respuesta a incidentes críticos, ESET procedió a notificar de manera oficial y confidencial a todas las entidades gubernamentales afectadas en Europa y Sudáfrica. Asimismo, mediante la colaboración directa con los proveedores de servicios en la nube, se logró dar de baja los repositorios de GitHub y los buckets de AWS S3 utilizados en la campaña, neutralizando la infraestructura operativa del grupo.