Webworm napojený na Čínu presunul svoje špionážne aktivity do Európy; Bielorusi útočili na Ukrajinu
Tento rok nás v lete čaká podľa meteorológov rekordné sucho. A má byť aj poriadne horúco. Sucho môžeme potvrdiť už za predchádzajúce mesiace. Čo však ešte s väčšou istotou vieme predpovedať v našom Labe – u nás sa určite žiadne sucho nečaká. No horúco bude zrejme aj tu. Rovnako ako posledný mesiac.
Náš výskumník Eric Howard analyzoval aktivitu skupiny Webworm napojenej na Čínu. Táto skupina pôvodne cielila na organizácie v Ázii, no v poslednom období presunula svoje zameranie do Európy. ESET zaznamenal útoky Webwormu na vládne inštitúcie v Belgicku, Taliansku, Poľsku, Srbsku a Španielsku. Zároveň sa skupina pokúsila preniknúť aj do Južnej Afriky, kde kompromitovala jednu miestnu univerzitu. Od minulého roka skupina využíva backdoor, ktorý na komunikáciu používa Discord a Microsoft Graph API. Výskumníci spoločnosti ESET dešifrovali viac než 400 správ na Discorde a odhalili server prevádzkovaný útočníkmi, využívaný na špehovanie viac než 50 jedinečných cieľov.
Medzi najnovšie nástroje skupiny patria dva nové backdoory: EchoCreep využívajúci Discord a GraphWorm využívajúci Microsoft Graph. Hoci útočníci naďalej používali existujúce proxy riešenia, pridali aj vlastné nástroje ako WormFrp, ChainWorm, SmuxProxy a WormSocket. Na základe počtu a komplexnosti týchto proxy nástrojov je pravdepodobné, že Webworm buduje výrazne väčšiu skrytú sieť tým, že presviedča obete, aby spúšťali ich proxy. Zistili sme takisto, že Webworm používa výhradne endpointy OneDrive, konkrétne na získavanie nových úloh a nahrávanie informácií obetí.
Počas vyšetrovania kampaní z roku 2025 sme navyše zistili, že Webworm začal používať svoje vlastné proxy riešenie WormFrp na získavanie konfigurácií z kompromitovaného úložiska AWS S3 – verejného cloudového úložiska v rámci služieb Amazon Web Services. Je zrejmé, že prostredníctvom tohto S3 úložiska môže Webworm zneužívať exfiltráciu dát, pričom nič netušiaca obeť za túto službu aj platí. V období medzi decembrom 2025 a januárom 2026 operátori nahrali do tejto služby 20 nových súborov, pričom dva z nich boli exfiltrované z vládnej inštitúcie v Španielsku.
V inom prípade odhalil iný náš výskumník Damien Schaeffer nové aktivity hrozbovej skupiny FrostyNeighbor, napojenej na Bielorusko, ktorá cieli na vládne organizácie na Ukrajine. Podľa našej telemetrie vykonáva FrostyNeighbor nepretržité kybernetické operácie, pravidelne mení a aktualizuje svoj arzenál nástrojov, ako aj celý reťazec kompromitácie a použité metódy, aby sa vyhol detekcii, pričom cieľom sú obete vo východnej Európe. Primárny cieľ útokov je špionáž.
Od marca tohto roka sme zaznamenali, ako skupina využíva odkazy v škodlivých súboroch PDF zasielaných prostredníctvom spearphishingových príloh. Útočníci využívajú javascriptovú verziu nástroja PicassoLoader na doručenie payloadu Cobalt Strike.
Útok sa začína rozmazaným „návnadovým“ súborom PDF, vydávajúcim sa za dokument ukrajinskej telekomunikačnej spoločnosti Ukrtelecom, s tvrdením, že údajne „zaručuje spoľahlivú ochranu zákazníckych dát“, a obsahuje tlačidlo na stiahnutie s odkazom na dokument hostovaný na serveri kontrolovanom útočníkmi. Ak obeť používa IP adresu z Ukrajiny, server namiesto toho doručí škodlivý archív RAR – javascriptový súbor, ktorý uloží a zobrazí dokument PDF ako návnadu. Súčasne spustí aj druhú fázu: downloader PicassoLoader.
Rozhodnutie o doručení ďalšieho payloadu pravdepodobne robia operátori manuálne na základe zozbieraných informácií, aby posúdili, či je obeť zaujímavá. Ak áno, server útočníkov odpovie tretím štádiom s Cobalt Strike, ktorého cieľom je kybernetická špionáž.
FrostyNeighbor vedie kampane využívajúce spearphishing, šírenie dezinformácií a pokusy o ovplyvňovanie cieľov, pričom zároveň kompromitoval množstvo vládnych aj súkromných subjektov, najmä na Ukrajine, v Poľsku a Litve. Zatiaľ čo útoky na Ukrajine sa zameriavajú najmä na vojenský a obranný sektor a vládne inštitúcie, spektrum obetí v Poľsku a Litve je širšie a zahŕňa okrem iného rôzne odvetvia, ako sú priemysel a výroba, zdravotníctvo a farmaceutika, logistika, ako aj mnohé vládne organizácie.
A na úplný záver ešte zaujímavá informácia zo sveta ESETu a umelej inteligencie. Vo firme sme sa rozhodli investovať 40 miliónov eur na vývoj práve v oblasti AI. Strategická investícia je reakciou na dynamický vývoj v tejto oblasti a bezpečnosti. ESET najnovšie upozorňuje na rýchlo rastúcu útočnú plochu, ktorú prináša zavádzanie AI agentov. Od marca 2026 technológie ESET analyzovali takmer 800 000 unikátnych „AI skills“ – komponentov, ktoré umožňujú AI agentom samostatne vykonávať úlohy, pracovať s nástrojmi a komunikovať s externými systémami. Približne 25 000 z nich bolo vyhodnotených ako podozrivých a viac ako 3000 zablokovaných pre svoju škodlivosť. Ide o 13-násobný nárast oproti približne 60 000 verejne dostupným „skills“ zaznamenaným na začiatku roka.
Takisto urýchlime vývoj vlastných modelov AI optimalizovaných na kyberbezpečnostné použitie. Na rozdiel od univerzálnych systémov AI trénovaných na širokom spektre dát z obsahu na internete budú vychádzať z telemetrie a dát o reálnych hrozbách, ktoré zhromažďujeme takmer 35 rokov.
No a to je na tento mesiac už naozaj všetko. Určite si užite dovolenku, slnko, a ak toho bude príliš veľa – bežte sa schladiť. Nezabudnite na cestách na bezpečnosť. Želám vám, nech už budete fyzicky hocikde, príjemné a hlavne bezpečné surfovanie online svetom.
