Buenos Aires, mayo de 2026.- El equipo de investigación de ESET, compañía especializada en detección proactiva de amenazas digitales, reveló nuevos hallazgos sobre un grupo de ciberespionaje vinculado a China que en 2025 redirigió sus operaciones hacia gobiernos europeos, ampliando de forma significativa su alcance y sofisticación técnica.
La investigación identifica a Webworm como una amenaza persistente avanzada que, tras años de actividad focalizada en Asia, modificó su estrategia para atacar entidades gubernamentales en Bélgica, Italia, Polonia, Serbia y España. De manera paralela, el grupo también comprometió una universidad en Sudáfrica, confirmando una expansión geográfica que refuerza su perfil como actor de espionaje internacional.
Ciberespionaje chino y cambio de objetivos
Según el análisis de ESET, el giro hacia Europa no fue circunstancial. El grupo adaptó sus tácticas para operar de forma más encubierta, apoyándose en plataformas legítimas ampliamente utilizadas en entornos corporativos y gubernamentales. Esta evolución le permitió ocultar comunicaciones maliciosas dentro de servicios cotidianos, dificultando su detección por soluciones de seguridad tradicionales.
Durante la investigación, los analistas observaron que Webworm concentró sus ataques en organismos estatales, una característica típica de campañas de ciberespionaje orientadas a la recolección de información sensible, documentos internos y credenciales de acceso.
Uso de plataformas legítimas para control remoto
Uno de los hallazgos más relevantes fue el uso de servicios como Discord y la API de Microsoft Graph para la comunicación de comando y control. Desde 2024, el grupo emplea backdoors capaces de enviar instrucciones, recibir datos y transferir archivos utilizando estas plataformas, lo que les permite camuflar el tráfico malicioso como actividad legítima.
El equipo de ESET logró descifrar más de 400 mensajes enviados a través de Discord y detectó un servidor controlado por los atacantes que fue utilizado para el reconocimiento de más de 50 objetivos distintos, principalmente en Europa.
Nuevas herramientas y malware personalizado
La investigación permitió identificar dos nuevas puertas traseras desarrolladas por el grupo. EchoCreep, diseñada para operar mediante Discord, permite cargar archivos, recibir comandos y enviar reportes de ejecución. GraphWorm, en tanto, utiliza exclusivamente la API de Microsoft Graph y puntos de conexión de OneDrive para obtener tareas y exfiltrar información de las víctimas.
Además, los investigadores detectaron que Webworm aloja su malware y herramientas en repositorios públicos de GitHub, facilitando la descarga directa del código malicioso en los sistemas comprometidos y reduciendo la necesidad de infraestructura propia.
Infraestructura en la nube y exfiltración de datos
ESET también descubrió que, entre diciembre de 2025 y enero de 2026, el grupo comenzó a utilizar una solución de proxy personalizada, denominada WormFrp, para recuperar configuraciones desde un bucket comprometido de Amazon Web Services. Este almacenamiento en la nube fue utilizado para exfiltrar datos mientras las víctimas asumían los costos del servicio.
Durante ese período, los operadores subieron al menos 20 archivos nuevos, dos de los cuales contenían información extraída de una entidad gubernamental en España, lo que confirma el impacto directo de la campaña en instituciones europeas.
Atribución y respuesta ante la amenaza
La atribución de la campaña de 2025 a Webworm se basó en múltiples evidencias técnicas, entre ellas direcciones IP previamente asociadas al grupo y artefactos encontrados en repositorios utilizados por los atacantes. Todas las organizaciones afectadas fueron notificadas por ESET, y los servicios comprometidos, incluidos repositorios y buckets en la nube, fueron dados de baja.
El análisis refuerza la necesidad de que los gobiernos y entidades críticas fortalezcan sus capacidades de detección, especialmente frente a amenazas que abusan de herramientas legítimas para operar de forma encubierta. El ciberespionaje ya no depende únicamente de malware sofisticado, sino de la capacidad de pasar desapercibido en entornos digitales cada vez más interconectados.