China-nahe Hacker verstecken Angriffe auf europäische Behörden in Discord und OneDrive
ID: 2252414

(ots) - ESET-Forscher entschlüsseln über 400 Nachrichten der Gruppe "Webworm" und entdecken neue Tarntechniken für Cyberangriffe
Sicherheitsforscher von ESET haben neue Angriffstechniken der China-nahen APT-Gruppe "Webworm" (https://www.welivesecurity.com/de/eset-research/hacker-gruppe-webwurm-nutzt-neue-wuhltechniken) aufgedeckt, die zuletzt verstärkt Regierungsorganisationen in Europa ins Visier genommen hat. Die Angreifer missbrauchten dabei unter anderem Discord, Microsoft OneDrive und GitHub, um Schadsoftware zu steuern, Daten abzuziehen und ihre Kommunikation innerhalb legitimer Plattformen zu verstecken.
Betroffen waren Regierungsorganisationen in Belgien, Italien, Polen, Serbien und Spanien. Darüber hinaus kompromittierte die Gruppe offenbar auch eine Universität in Südafrika. Im Zuge der Analyse entschlüsselten die Forscher mehr als 400 Discord-Nachrichten der Angreifer und identifizierten Server, die zur Aufklärung gegen mehr als 50 potenzielle Ziele eingesetzt wurden.
"Wir beobachten zunehmend, dass Angreifer ihre Infrastruktur hinter bekannten Cloud- und Kommunikationsdiensten verstecken", erklärt ESET-Forscher Eric Howard, der die aktuellen Aktivitäten von Webworm untersucht hat. "Dadurch wird es für Unternehmen und Behörden deutlich schwieriger, schädliche Aktivitäten im normalen Netzwerkverkehr zu erkennen."
Angriffe verstecken sich in legitimen Cloud-Diensten
Webworm setzt verstärkt auf Dienste und Plattformen, die in Unternehmen und Behörden alltäglich genutzt werden. Statt klassischer Malware-Server nutzten die Angreifer unter anderem Discord für die Kommunikation mit kompromittierten Systemen sowie Microsoft OneDrive und die Microsoft Graph API zur Steuerung ihrer Schadsoftware.
Im Zentrum der aktuellen Kampagne stehen zwei neue Werkzeuge: die Discord-basierte Backdoor "EchoCreep" sowie "GraphWorm", das über Microsoft-Cloud-Dienste kommuniziert. EchoCreep nutzte Discord unter anderem zum Hochladen von Dateien, zur Übermittlung von Befehlen und zum Versand von Statusmeldungen kompromittierter Systeme. GraphWorm wiederum legte für jedes Opfer eigene Verzeichnisse innerhalb von OneDrive an, um Daten auszutauschen und neue Befehle abzurufen.
"Die Gruppe versteckt ihre Aktivitäten gezielt innerhalb legitimer Cloud-Dienste", so Howard. "Das erschwert nicht nur die Erkennung, sondern hilft den Angreifern auch dabei, sich langfristig in kompromittierten Netzwerken zu bewegen."
Versteckte Proxy-Netzwerke und missbrauchte Cloud-Infrastruktur
Neben Discord und OneDrive beobachteten die ESET-Forscher auch den Einsatz mehrerer individuell entwickelter Proxy-Werkzeuge. Diese dienten offenbar dazu, versteckte Kommunikationswege aufzubauen und die tatsächliche Infrastruktur der Angreifer zu verschleiern.
Nach Einschätzung der Analysten baut Webworm damit ein komplexes Netzwerk aus Proxy- und Tunnelverbindungen auf, das sich über kompromittierte Systeme und Cloud-Dienste erstreckt. Besonders kritisch bewerten die Forscher dabei den Missbrauch von Cloud-Speichern. So nutzte die Gruppe einen manipulierten AWS-S3-Bucket, um Konfigurationsdaten abzurufen und Daten aus betroffenen Netzwerken abzuziehen.
"Offenbar konnten die Angreifer kompromittierte Cloud-Speicher nicht nur für ihre Kommunikation nutzen, sondern auch für Datenexfiltration", erklärt Howard. "Die betroffenen Organisationen trugen dabei unbemerkt sogar die Infrastrukturkosten der Angreifer."
Zwischen Dezember 2025 und Januar 2026 luden die Betreiber mindestens 20 Dateien in den kompromittierten Speicher hoch. Zwei davon stammten offenbar aus einer staatlichen Einrichtung in Spanien.
Fokus der Gruppe verlagert sich nach Europa
Webworm wird seit mehreren Jahren mit China-nahen Aktivitäten in Verbindung gebracht. Während die Gruppe früher vor allem Ziele in Asien attackierte, beobachten die ESET-Forscher seit 2024 eine deutliche Verlagerung des Fokus nach Europa. Die aktuellen Kampagnen richteten vor allem gegen Regierungsorganisationen und öffentliche Einrichtungen. Gleichzeitig entwickelt die Gruppe ihre Werkzeuge und Taktiken kontinuierlich weiter.
Statt klassischer Remote-Access-Trojaner setzt Webworm inzwischen verstärkt auf legitime Dienste, Proxy-Netzwerke und individuell angepasste Werkzeuge, die deutlich schwerer zu erkennen sind.
GitHub-Repositories als Malware-Verteiler
Darüber hinaus nutzte die Gruppe GitHub-Repositories, um Schadsoftware und weitere Werkzeuge bereitzustellen. In einem Fall tarnte sich ein Repository sogar als legitimer WordPress-Fork, um möglichst unauffällig zu wirken.
Im Rahmen ihrer Analyse identifizierten die ESET-Forscher außerdem Hinweise darauf, dass Webworm Open-Source-Tools zur Schwachstellensuche und Webserver-Aufklärung einsetzt. Zudem fanden die Analysten Hinweise auf den möglichen Einsatz öffentlich verfügbarer Exploits gegen Webmail-Systeme.
ESET geht davon aus, dass Webworm künftig verstärkt auf Cloud-Plattformen, Kommunikationsdienste und neue Tarntechniken setzen wird, um Sicherheitsmechanismen zu umgehen und Angriffe schwerer erkennbar zu machen.
Weitere technische Details zu den aktuellen Aktivitäten von Webworm veröffentlicht ESET Research auf WeLiveSecurity (https://www.welivesecurity.com/de/eset-research/hacker-gruppe-webwurm-nutzt-neue-wuhltechniken).
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuell
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: ots
Datum: 20.05.2026 - 14:00 Uhr
Sprache: Deutsch
News-ID 2252414
Anzahl Zeichen: 6312
Kontakt-Informationen:
Ansprechpartner: ots
Stadt:
Jena
Kategorie:
Freizeitindustrie
Diese Pressemitteilung wurde bisher 278 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"China-nahe Hacker verstecken Angriffe auf europäische Behörden in Discord und OneDrive"
steht unter der journalistisch-redaktionellen Verantwortung von
ESET Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Europäischer Security-Hersteller baut Forschung und KI-Abwehr massiv aus Der IT-Sicherheitshersteller ESET investiert 40 Millionen Euro in den Ausbau KI-gestützter Cyberabwehr. Das verkündete das Unternehmen auf der Sicherheitskonferenz ESET World 2026 (https://esetworld.com/) in Berlin. Der eur
Trotz Investionen: Viele Krankenhäuser hinken bei NIS2 hinterher ...
Viele Krankenhäuser investieren in ihre IT-Sicherheit. Bei der Umsetzung der neuen EU-Richtlinie NIS2 bleiben sie dennoch zurück. Das zeigt eine aktuelle Umfrage des IT-Sicherheitsherstellers ESET unter Entscheidern im deutschen Gesundheitswesen. Rund 36 Prozent der befragten Kliniken geben an, in
Betrug im Play Store: Millionen Nutzer zahlen für erfundene Anrufdaten ...
Apps, die versprechen, den Anrufverlauf fremder Telefonnummern anzuzeigen, locken derzeit Millionen Nutzer in eine Kostenfalle. Sicherheitsexperten des europäischen IT-Sicherheitsherstellers ESET warnen vor einer neuen Betrugsmasche: Nutzer zahlen Geld, erhalten aber nur frei erfundene Daten. Nach
Weitere Mitteilungen von ESET Deutschland GmbH
KI-Überwachung in Frankfurt: Was die Technik heute schon kann – und viele überrascht ...
Mit dem Ausbau der Videoüberwachung in Frankfurt wird sichtbar, wie weit die Technologie bereits ist. Moderne Systeme erkennen nicht nur Gesichter, sondern auch Bewegungsmuster, auffälliges Verhalten und können Personen über mehrere Kameras hinweg verfolgen. Selbst kleinste Abweichungen im Verha
EVA × RABBIDS: Die neue Freizeitaktivität für die ganze Familie ...
EVA arbeitet mit den schrägen Rabbids zusammen und präsentiert Rabbids: Color Chaos: ein Virtual-Reality-Spiel, bei dem man sich viel bewegt, lacht und in einer 500 m² großen Arena nach Herzenslust Farbe verspritzt. Das Erlebnis richtet sich an Familien, Freundesgruppen und alle, die gemeinsam V
Sommer, Sonne, Selbstbestimmung: Sichtbare Nippel beschäftigen jede vierte Frau ...
Je höher die Temperaturen, desto luftiger die Kleidung - und kaum ein Kleidungsstück polarisiert dabei so sehr wie der BH. Die weibliche Brust und sichtbare Nippel bleiben kontrovers. Wie viele Gedanken sich Frauen darüber machen und wie sie es tatsächlich mit dem BH-Tragen halten, zeigen aktuel
Millionengewinn der GlücksSpirale-Zusatzlotterie Sieger-Chance geht nach Bayern ...
Ein anonymer Spielauftrag aus Bayern hat bei der Ziehung der GlücksSpirale-Zusatzlotterie Sieger-Chance am 16. Mai 2026 als einziger deutschlandweit den Höchstgewinn von genau einer Million Euro erzielt. Sein/e Besitzer/in hatte den Spielauftrag mit der siebenstelligen Losnummer 9146573 für die




