Китайські хакери, відомі під псевдонімом Webworm, активізували свої атаки на державні органи країн Європи. За даними експертів у сфері кібербезпеки, ці зловмисники використовують складні методи для компрометації інформаційних систем урядів та стратегічно важливих установ. Вони намагаються отримати доступ до чутливої інформації, що може бути використана для шпигунства або економічної вигоди. Варто зазначити, що в останні роки спостерігається зростання кібератак із боку китайських угруповань.
Пов’язана з Китаєм високопрофесійна APT-група (Advanced Persistent Threat) Webworm радикально розширила географію своєї активності. Якщо раніше зловмисники фокусувалися переважно на країнах Азії, то у травні 2026 року дослідники компанії ESETзафіксувалимасштабну кампанію проти урядових установ Бельгії, Італії, Польщі, Сербії та Іспанії.
Головна небезпека нової хвилі атак полягає в техніці Living off the Land — хакери не створюють підозрілих каналів зв’язку, а використовують для керування бекдорами легітимні хмарні сервіси, якими щодня користуються мільйони людей: Discord, GitHub та Microsoft OneDrive.
Спеціалісти ESET розшифрували понад 400 повідомлень у Discord і виявили командний сервер, який збирав інформацію про більш ніж 50 високопоставлених цілей. Дослідники виділили два абсолютно нові бекдори, які використовує група:
EchoCreep (на базі Discord): Цей шкідливий софт повністю використовує інфраструктуру Discord для завантаження файлів на робочі станції жертв, надсилання звітів про успішне виконання та отримання нових команд від хакерів.
GraphWorm (на базі Microsoft Graph API): Бекдор використовує офіційний API від Microsoft для з’єднання з командним сервером. Зловмисники налаштували систему так, що вона використовує виключно корпоративні сховища OneDrive жертв для передачі нових завдань та непомітного вивантаження конфіденційної інформації про держструктури.
Окрім цього, хакери активно використовують офіційний репозиторій GitHub для розміщення підробленого софту. Зокрема, під виглядом популярного додатка SoftEther VPN розповсюджувався конфігураційний файл із вшитими IP-адресами зловмисників.
Для маскування своєї присутності та обходу систем виявлення (EDR), Webworm розробила та впровадила цілий набір власних проксі-рішень: WormFrp, ChainWorm, SmuxProxy та WormSocket. Така різноманітність та складність інструментарію вказує на те, що угруповання будує глобальну, глибоко законспіровану мережу для проведення ще потужніших кібератак у майбутньому.
За словами дослідника ESET Еріка Говарда, первинний доступ до систем урядових установ хакери отримували банальним шляхом — через автоматизоване сканування мереж за допомогою сканерів уразливостей з відкритим кодом.
Для HiTech Expert ми робимо важливий акцент: кейс Webworm — це серйозний дзвінок для українських ІТ-директорів та державних відомств, які зараз активно переходять на гібридні хмари (включаючипроекти рівня Дія.AI з Googleчи Microsoft 365). Якщо зловмисники навчилися ховати шкідливу активність всередині трафіку OneDrive та Microsoft Graph, класичний захист на базі сигнатур більше не працює. Необхідно впроваджувати суворий контроль нульової довіри (Zero Trust Architecture), блокувати несанкціоноване використання API та проводити глибокий поведінковий аналіз мережевого трафіку, оскільки критичне мислення та кібергігієна (про яку щойно попереджав Укртелеком) є базовою лінією оборони держави.