Пов’язана з Китаєм високопрофесійна APT-група (Advanced Persistent Threat) Webworm радикально розширила географію своєї активності. Якщо раніше зловмисники фокусувалися переважно на країнах Азії, то у травні 2026 року дослідники компанії ESET зафіксували масштабну кампанію проти урядових установ Бельгії, Італії, Польщі, Сербії та Іспанії.
Головна небезпека нової хвилі атак полягає в техніці Living off the Land — хакери не створюють підозрілих каналів зв’язку, а використовують для керування бекдорами легітимні хмарні сервіси, якими щодня користуються мільйони людей: Discord, GitHub та Microsoft OneDrive.
Технічний розбір: як працює інфраструктура Webworm
Спеціалісти ESET розшифрували понад 400 повідомлень у Discord і виявили командний сервер, який збирав інформацію про більш ніж 50 високопоставлених цілей. Дослідники виділили два абсолютно нові бекдори, які використовує група:
-
EchoCreep (на базі Discord): Цей шкідливий софт повністю використовує інфраструктуру Discord для завантаження файлів на робочі станції жертв, надсилання звітів про успішне виконання та отримання нових команд від хакерів.
-
GraphWorm (на базі Microsoft Graph API): Бекдор використовує офіційний API від Microsoft для з’єднання з командним сервером. Зловмисники налаштували систему так, що вона використовує виключно корпоративні сховища OneDrive жертв для передачі нових завдань та непомітного вивантаження конфіденційної інформації про держструктури.
![[Image showcasing multi-stage APT attack vector using malicious GitHub repositories, Discord bot commands, and data exfiltration via Microsoft Graph API to OneDrive]](https://expert.com.ua/wp-content/uploads/2026/05/figure-1.png)
Окрім цього, хакери активно використовують офіційний репозиторій GitHub для розміщення підробленого софту. Зокрема, під виглядом популярного додатка SoftEther VPN розповсюджувався конфігураційний файл із вшитими IP-адресами зловмисників.
Створення гігантської проксі-мережі
Для маскування своєї присутності та обходу систем виявлення (EDR), Webworm розробила та впровадила цілий набір власних проксі-рішень: WormFrp, ChainWorm, SmuxProxy та WormSocket. Така різноманітність та складність інструментарію вказує на те, що угруповання будує глобальну, глибоко законспіровану мережу для проведення ще потужніших кібератак у майбутньому.
За словами дослідника ESET Еріка Говарда, первинний доступ до систем урядових установ хакери отримували банальним шляхом — через автоматизоване сканування мереж за допомогою сканерів уразливостей з відкритим кодом.
HiTech Expert Take
Для HiTech Expert ми робимо важливий акцент: кейс Webworm — це серйозний дзвінок для українських ІТ-директорів та державних відомств, які зараз активно переходять на гібридні хмари (включаючи проекти рівня Дія.AI з Google чи Microsoft 365). Якщо зловмисники навчилися ховати шкідливу активність всередині трафіку OneDrive та Microsoft Graph, класичний захист на базі сигнатур більше не працює. Необхідно впроваджувати суворий контроль нульової довіри (Zero Trust Architecture), блокувати несанкціоноване використання API та проводити глибокий поведінковий аналіз мережевого трафіку, оскільки критичне мислення та кібергігієна (про яку щойно попереджав Укртелеком) є базовою лінією оборони держави.
