Powiązana z Chinami grupa APT Webworm zintensyfikowała cyberataki na instytucje rządowe w Unii Europejskiej, w tym w Polsce. Jak wynika z analiz firmy ESET, w ostatnich miesiącach doszło do serii incydentów wymierzonych w cele w Belgii, Włoszech, Hiszpanii i naszym kraju. Eksperci odszyfrowali ponad 400 wiadomości przesyłanych przez Discorda i odkryli serwer wykorzystywany do rozpoznania wobec ponad 50 unikalnych celów.
Badacze ESET przeanalizowali aktywność grupy Webworm, która początkowo koncentrowała się na Azji, ale teraz przeniosła uwagę na Europę. W Polsce celem były instytucje rządowe, choć szczegóły dotyczące konkretnych ofiar nie zostały ujawnione. grupa używa zaawansowanych technik, by kraść dane i obciążać ofiary kosztami usług.
Eric Howard, badacz ESET, który odkrył najnowszą aktywność grupy Webworm, powiedział, że udało się odzyskać polecenia wykonywane z serwera, co pozwoliło lepiej zrozumieć potencjalne techniki uzyskiwania początkowego dostępu do systemów przez grupę.
How ESET uncovered the campaign
Analiza wykazała, że między grudniem 2025 a styczniem 2026 operatorzy przesłali do usługi 20 nowych plików, z których dwa zostały wykradzione z jednej z instytucji rządowych w Hiszpanii. Odszyfrowane wiadomości z Discorda ujawniły strukturę dowodzenia i kontroli.
Badacze podkreślili, że grupa Webworm jest dobrze zorganizowana i dysponuje znacznymi zasobami. Działania te są częścią szerszej kampanii szpiegostwa gospodarczego i politycznego.
Poland among the targets
Polska znalazła się na liście państw objętych ostatnimi kampaniami. Zdaniem ESET, ataki na polskie instytucje mogą mieć na celu pozyskanie danych wrażliwych, w tym informacji o strategicznych sektorach gospodarki.
Eric Howard dodał, że wszystko wskazuje na to, że grupa może wyprowadzać dane z systemów ofiar, jednocześnie obciążając je kosztami usługi. Operatorzy Webworm regularnie aktualizują swoje narzędzia i unikają wykrycia.
Further attacks expected
Według badaczy ESET można się spodziewać, że chińska grupa APT będzie w przyszłości przeprowadzać kolejne ataki. Eksperci zalecają polskim instytucjom rządowym zwiększenie monitorowania sieci i wdrożenie dodatkowych zabezpieczeń.
Źródło: WNP.PL, Fot. PAP/EPA/TINGSHU WANG/POOL
