Chińska grupa hakerska Webworm przeniosła swoje działania do Europy, atakując rządowe instytucje w Polsce, Belgii, Włoszech i Hiszpanii. Zamiast tworzyć własną infrastrukturę, cyberprzestępcy wykorzystują legalne platformy takie jak Discord i Microsoft OneDrive, by ukryć szpiegostwo i kradzież danych. Specjaliści z ESET zidentyfikowali dwa nowe oprogramowania szpiegujące: EchoCreep, korzystające z Discorda, oraz GraphWorm, podszywające się pod usługi Microsoftu.

Przełom w śledztwie nastąpił po rozszyfrowaniu komunikacji grupy na Discordzie, co doprowadziło analityków do serwerów kontrolowanych przez hakerów. Ustalono, że dane są przekazywane przez chmurę Amazon Web Services (AWS), a w jednym przypadku potwierdzono wyciek poufnych dokumentów z hiszpańskiej instytucji rządowej. Grupa Webworm, wcześniej aktywna głównie w Azji, obecnie celuje w europejskie struktury państwowe.

ESET ostrzega, że Webworm to przykład coraz wyrafinowanego podejścia cyberprzestępców, którzy wykorzystują zaufane, powszechnie używane narzędzia do przeprowadzania ataków. Instytucje i organizacje muszą zwiększyć czujność, ponieważ tradycyjne mechanizmy ochrony mogą nie wykrywać takich ukrytych zagrożeń. Brak potwierdzenia neutralizacji grupy oznacza, że ryzyko kolejnych ataków pozostaje wysokie.