Geçen yıldan bu yana grup, C&C iletişimi için Discord ve Microsoft Graph API’sini kullanan arka kapılar kullanıyor. ESET araştırmacıları 400’den fazla Discord mesajının şifresini çözdü ve 50’den fazla benzersiz hedefe karşı keşif amacıyla kullanılan, saldırgan tarafından işletilen bir sunucu keşfetti.

Webworm’un son faaliyetlerini ortaya çıkaran ESET araştırmacısı Eric Howard “Analizimiz sayesinde, açık kaynaklı bir güvenlik açığı tarayıcısı kullanarak grubun potansiyel ilk erişim tekniklerine ilişkin bir fikir veren bir sunucudan yürütülen komutları kurtarmayı başardık ve odaklandığı hedeflerin bazılarını tespit ettik” açıklamasını yaptı. ESET, EchoCreep arka kapısının C&C iletişimi için kullandığı Discord mesajlarının şifresini çözdükten sonra elde ettiği bilgilere dayanarak 2025 kampanyasını Webworm’a atfetti. Bu bilgiler, araştırmacıları saldırganların GitHub deposuna yönlendirdi; bu depoda SoftEther VPN uygulaması gibi hazırlanmış araçlar bulunuyordu. SoftEther yapılandırma dosyasında, bilinen bir Webworm IP adresiyle eşleşen bir IP adresi bulundu.

En son araçlarının başında iki yeni arka kapı geliyor: Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm. Tehdit aktörleri mevcut proxy çözümlerini kullanmaya devam ederken WormFrp, ChainWorm, SmuxProxy ve WormSocket’e özel proxy çözümleri de eklediler. Proxy araçlarının sayısı ve karmaşıklığına bakıldığında, Webworm kurbanları proxy’lerini çalıştırmaya ikna ederek çok daha büyük bir gizli ağ oluşturuyor olabilir. Buna ek olarak, Webworm, Discord ve Microsoft Graph API’yi komuta ve kontrol (C&C) kanalları olarak kullanmaya başladı. EchoCreep arka kapısı, dosya yüklemek, çalışma zamanı raporları göndermek ve komut almak için Discord’u kullanıyor. GraphWorm ise C&C iletişimi için Microsoft Graph API’yi kullanıyor; ESET araştırmacıları, bu yazılımın özellikle yeni görevleri almak ve kurban bilgilerini yüklemek amacıyla yalnızca OneDrive uç noktalarını kullandığını ortaya çıkardı.

ESET araştırmacısı Eric Howard açıklamasında şu bilgilere yer verdi: “2025 kampanyalarını araştırırken Webworm’un, Amazon Web Services’te bulunan ve S3’ün basit depolama hizmeti anlamına geldiği bir genel bulut depolama çözümü olan, güvenliği ihlal edilmiş bir AWS S3 bucket yapılandırmaları almak için özel proxy çözümü WormFrp’yi kullanmaya başladığını keşfettik. Görünüşe göre Webworm, bu S3 bucket aracılığıyla veri sızdırma işlemlerinden yararlanırken masum kurbanlar hizmetin faturasını ödüyor.” 

 Aralık 2025 ile Ocak 2026 arasında operatörler, hizmete 20 yeni dosya yükledi; bunlardan ikisi İspanya’daki bir devlet kurumundan sızdırılmıştı. 

Grup ayrıca GitHub’da dosya yayımlamaya devam ediyor ve ESET, gelecekte de bunu sürdüreceklerini varsayıyor.

Çin bağlantılı Webworm Avrupa’da hükümetleri hedef aldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET araştırmacıları, GopherWhisper adını verdikleri, daha önce kayıtlara geçmemiş, Çin ile bağlantılı bir APT grubu keşfettiler. Grup, çoğunlukla Go dilinde yazılmış ve enjektörler ile yükleyiciler kullanarak cephaneliğindeki çeşitli arka kapıları dağıtıp çalıştıran çok çeşitli araçlar kullanıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu hedef aldı. GopherWhisper, komuta ve kontrol (C&C) iletişimi ve veri sızdırma amacıyla Discord, Slack, Microsoft 365 Outlook ve file.io gibi meşru hizmetleri kötüye kullanıyor.

ESET araştırmacıları  bu grubu Ocak 2025’te, Moğolistan’daki bir devlet kurumunun sisteminde daha önce belgelenmemiş bir arka kapı bulduğunda keşfetti  ve bu arka kapıya LaxGopher adını verdi. Daha derinlemesine araştırma yapan ekip, aynı grup tarafından dağıtılan, çoğunlukla çeşitli ek arka kapılar olmak üzere birkaç kötü amaçlı araç daha ortaya çıkardı. Bu araçların çoğu Go dilinde yazılmıştı ve ortak amaçları siber casusluktu.

ESET telemetrisine göre, GopherWhisper arka kapılarından etkilenen kurban bir Moğolistan devlet kurumu. Saldırganlar tarafından işletilen Discord ve Slack sunucularından gelen C&C trafiğini analiz eden ESET, Moğolistan kurumunun yanı sıra onlarca başka kurbanın da etkilendiğini tahmin ediyor; ancak bu kurbanların coğrafi konumları veya sektörleri hakkında herhangi bir bilgiye sahip değil. Keşfedilen yedi araçtan dördü arka kapı: Go dilinde yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ dilinde yazılmış SSLORDoor. Ayrıca ESET, bir enjektör (JabGopher), Go tabanlı bir veri sızdırma aracı (CompactGopher) ve kötü amaçlı bir DLL dosyası (FriendDelivery) buldu.

ESET’in tespit ettiği kötü amaçlı yazılım grubu, bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediği ve başka hiçbir grubun kullandığı taktik, teknik ve prosedürler (TTP’ler) ile de örtüşmediğinden, ESET bu araçları yeni bir gruba atfediyor. Araştırmacılar, grubun araçlarının çoğunun maskotu bir gopher olan Go programlama dilinde yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll dosya adına dayanarak bu gruba GopherWhisper adını verdi.

Yeni tehdit grubunu keşfeden ESET araştırmacısı Eric Howard yaptığı açıklamada; “GopherWhisper, C&C iletişimi için Slack, Discord ve Outlook gibi meşru hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında, binlerce Slack ve Discord mesajının yanı sıra Microsoft Outlook’tan birkaç taslak e-posta mesajını da elde etmeyi başardık. Bu, grubun iç işleyişi hakkında bize büyük bir fikir verdi. Slack ve Discord mesajlarının zaman damgası incelemesi, bunların çoğunun çalışma saatleri içinde, yani Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 arasında gönderildiğini gösterdi. Ayrıca Slack meta verilerinde yapılandırılmış kullanıcının yerel ayarı da bu saat dilimine ayarlanmıştı. Bu nedenle, GopherWhisper’ın Çin merkezli bir grup olduğuna inanıyoruz” dedi.

ESET’in bu araştırmasına göre, grubun Slack ve Discord sunucuları ilk olarak arka kapıların işlevselliğini test etmek, daha sonra ise günlükleri silinmeden, ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher arka kapıları için komuta ve kontrol (C&C) sunucuları olarak kullanıldı. Slack ve Discord iletişimlerine ek olarak, ESET araştırmacıları, Microsoft Graph API’sini kullanarak BoxOfFriends arka kapısı ile C&C’si arasındaki iletişimde kullanılan e-posta mesajlarını da çıkarabildiler.

ESET Research’ten Eric Howard, bu bulguları Botconf 2026 konferansında sundu.

ESET yeni bir siber casusluk grubunu ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.