Grupo Webworm vira atenções para a Europa utilizando o Discord e Microsoft Graph

João Fernandes Por
maio 26, 2026
Grupo Webworm vira atenções para a Europa utilizando o Discord e Microsoft Graph
Segurança e Redes

Os investigadores da ESET revelaram os detalhes da atividade recente do Webworm, um grupo de ciberespionagem alinhado com a China que alterou significativamente o seu raio de ação durante o ano de 2025. Originalmente focado em alvos no continente asiático, o grupo concentrou agora os seus ataques em organizações governamentais na Europa - com vítimas identificadas na Bélgica, Itália, Polónia, Sérvia e Espanha -, tendo expandido também as suas operações para a África do Sul, onde comprometeu de forma bem-sucedida uma universidade local.

A evolução das táticas deste grupo destaca-se pela utilização sofisticada de plataformas web legítimas para a manutenção das suas backdoors de acesso remoto. Segundo o relatório, os atacantes estão a abusar da infraestrutura do Discord e da API do Microsoft Graph para disfarçar o tráfego das suas comunicações de comando e controlo. Através da descodificação de mais de 400 mensagens no Discord, a equipa da ESET conseguiu expor um servidor operado pelos cibercriminosos, a partir do qual foram conduzidas ações ativas de reconhecimento contra mais de meia centena de alvos.

Eric Howard, o investigador responsável por esta descoberta, explicou que a recuperação dos comandos executados a partir deste servidor foi crucial para compreender o modus operandi da ameaça. A análise revelou que o acesso inicial aos sistemas vitimados era frequentemente conseguido através do uso de varredores de vulnerabilidades de código aberto. A atribuição formal desta campanha ao Webworm foi consolidada quando a equipa rastreou o repositório GitHub do grupo, onde encontraram ficheiros de configuração da aplicação SoftEther VPN com endereços IP historicamente associados a estes atacantes.

O arsenal técnico do Webworm foi consideravelmente reforçado com o desenvolvimento de novas ferramentas exclusivas, como o "EchoCreep" (dedicado à comunicação via Discord) e o "GraphWorm" (otimizado para o Microsoft Graph). Adicionalmente, o grupo intensificou o uso de utilitários como o WormFrp, ChainWorm, SmuxProxy e WormSocket, desenhados especificamente para encaminhar e camuflar o tráfego malicioso. A proliferação e complexidade destas ferramentas sugerem a criação de uma vasta infraestrutura rede oculta, que capitaliza de forma parasitária os recursos computacionais dos próprios sistemas infetados.

Numa demonstração clara de otimização de recursos, a investigação detetou ainda que o grupo desenvolveu uma solução própria para extrair configurações e armazenar dados roubados utilizando espaços de cloud previamente comprometidos, imputando os custos desse serviço às entidades vitimadas. Como prova desta atividade contínua, entre dezembro de 2025 e janeiro de 2026, os atacantes carregaram dezenas de ficheiros para esta infraestrutura, incluindo documentos subtraídos a uma entidade governamental espanhola, o que reforça o alerta de que organizações estratégicas na União Europeia continuam sob forte ameaça.

Classifique este item
(0 votos)
Ler 94 vezes
Tagged em
Mais nesta categoria: « Pirata informático acede a dados de cidadãos no SNS Uma em cada três vulnerabilidades críticas continua por corrigir um mês após deteção »

Itens relacionados

Top