Los actores de amenazas con vínculos con China explotaron la Shell de herramientas Vulnerabilidad de seguridad en Microsoft SharePoint para violar una empresa de telecomunicaciones en el Medio Oriente a posteriori de que fuera divulgada públicamente y parcheada en julio de 2025.
Incluso se atacaron departamentos gubernamentales de un país africano, así como agencias gubernamentales de América del Sur, una universidad de Estados Unidos, así como probablemente una agencia estatal de tecnología de un país africano, un área oficial de Medio Oriente y una empresa financiera de un país europeo.
Según el equipo Symantec Threat Hunter de Broadcom, los ataques involucraron la explotación de CVE-2025-53770, una falta de seguridad ahora parcheada en servidores SharePoint locales que podría estilarse para evitar la autenticación y conseguir la ejecución remota de código.
CVE-2025-53770, evaluado como un parche de derivación para CVE-2025-49704 y CVE-2025-49706, ha sido convertido en arsenal de día cero por tres grupos de amenazas chinos, incluidos Linen Typhoon (todavía conocido como Budworm), Violet Typhoon (todavía conocido como Sheathminer) y Storm-2603, el extremo de los cuales está vinculado al despliegue de Warlock. familias de ransomware LockBit y Babuk en los últimos meses.
Sin retención, los últimos hallazgos de Symantec indican que una escala mucho más amplia de actores de amenazas chinos han abusado de la vulnerabilidad. Esto incluye al comunidad de hackers Salt Typhoon (todavía conocido como Glowworm), que se dice que aprovechó la falta de ToolShell para implementar herramientas como Zingdoor, ShadowPad y KrustyLoader contra la entidad de telecomunicaciones y los dos organismos gubernamentales en África.
KrustyLoader, detallado por primera vez por Synacktiv en enero de 2024, es un cargador basado en Rust utilizado anteriormente por un comunidad de espionaje del conexión con China denominado UNC5221 en ataques que explotan fallas en Ivanti Endpoint Manager Mobile (EPMM) y SAP NetWeaver.
Por otra parte, los ataques dirigidos a agencias gubernamentales de Sudamérica y a una universidad de EE. UU. implicaron el uso de vulnerabilidades no especificadas para obtener camino auténtico, seguido de la explotación de servidores SQL y servidores HTTP Apache que ejecutaban el software Adobe ColdFusion para entregar cargas efectos maliciosas utilizando técnicas de carga anexo de DLL.
En algunos de los incidentes, se ha observado a los atacantes ejecutando un exploit para CVE-2021-36942 (todavía conocido como PetitPotam) para progresar privilegios y comprometer el dominio, adjunto con una serie de herramientas disponibles y disponibles para solucionar el escaneo, la descarga de archivos y el robo de credenciales en los sistemas infectados.
“Existe cierta superposición en los tipos de víctimas y algunas de las herramientas utilizadas entre esta actividad y la actividad previamente atribuida a Glowworm”, dijo Symantec. “Sin retención, no tenemos pruebas suficientes para atribuir de guisa concluyente esta actividad a un comunidad específico, aunque podemos sostener que todas las pruebas apuntan a que quienes están detrás de ella son actores de amenazas con sede en China”.
“La actividad llevada a mango en las redes objetivo indica que los atacantes estaban interesados en robar credenciales y en establecer un camino persistente y sigiloso a las redes de las víctimas, probablemente con fines de espionaje”.
