Microsoft ha vinculado formalmente la explotación de fallas de seguridad en las instancias de servidor de SharePoint orientados a Internet a dos grupos de piratería chinos llamados Typhoon y Typhoon Violet de Linen ya en el 7 de julio de 2025, corroborando informes anteriores.
El gigantesco tecnológico dijo que asimismo observó un tercer actor de amenaza con sede en China, que rastrea como Storm-2603, con el armamento de los fallas para obtener entrada auténtico a las organizaciones objetivo.
“Con la rápida admisión de estas hazañas, Microsoft evalúa con adhesión confianza de que los actores de amenaza continuarán integrándolos en sus ataques contra los sistemas de SharePoint sin pares”, dijo el gigantesco tecnológico en un crónica publicado hoy.
Una breve descripción de los grupos de actividad de amenaza está a continuación –
- Tifón de ristra (asimismo conocido como Apt27, Bronze Union, Emissary Panda, Yodine, Lucky Mouse, Red Phoenix y UNC215), que está activo desde 2012 y se ha atribuido previamente a familias de malware como Sysupdate, Hyperbro y Plugx
- Tifón Violet (asimismo conocido como APT31, Bronce Vinewood, Judgment Panda, Red Keres y Zirconio), que está activo desde 2015 y se ha atribuido previamente ataques dirigidos a los Estados Unidos, Finlandia y Chechia
- Storm-2603un supuesto actor de amenaza con sede en China que ha desplegado el ransomware Warlock y Lockbit en el pasado
Se ha opuesto que las vulnerabilidades, que afectan los servidores de SharePoint locales, aprovechan las correcciones incompletas para CVE-2025-49706, una falta de falsificación y CVE-2025-49704, un error de ejecución de código remoto. Se les ha asignado a los bypass a los identificadores CVE CVE-2025-53771 y CVE-2025-53770, respectivamente.
En los ataques observados por Microsoft, se ha opuesto que los actores de amenaza explotan los servidores de SharePoint en las instalaciones a través de una solicitud posterior al punto final de Toolpane, lo que resulta en un bypass de autenticación y una ejecución de código remoto.
Según lo revelado por otros proveedores de seguridad cibernética, las cadenas de infección allanan el camino para el despliegue de un shell web llamado “spinstall0.aspx” (asimismo conocido como spinstall.aspx, spinstall1.aspx o spinstall2.aspx) que permite a los adversarios recuperar y robar datos de ames de máquina.
El investigador de ciberseguridad Rakesh Krishnan dijo que “se identificaron tres invocaciones distintas de Microsoft Edge” durante el disección forense de un exploit de SharePoint. Esto incluye el proceso de utilidad de red, el compensador CrashPad y el proceso de GPU.
“Cada uno sirve una función única interiormente de la construcción de Chromium, pero colectivamente revela una táctica de mimetismo conductual y despreocupación de sandbox”, señaló Krishnan, al tiempo que claridad la atención sobre el uso del protocolo de aggiornamento del cliente de Google (copa) con “combinar el tráfico astuto con las comprobaciones de actualizaciones benignas”.
Para mitigar el peligro planteado por la amenaza, es esencial que los usuarios apliquen la última aggiornamento para la publicación de suscripción de SharePoint Server, SharePoint Server 2019 y SharePoint Server 2016, rotar las claves de la máquina ASP.NET de SharePoint Servidor, reiniciar los servicios de información de Internet (IIS) e implementar Microsoft Defender para un punto final o soluciones equivalentes.
Incluso se recomienda integrar y habilitar la interfaz de escaneo de antimalware (AMSI) y el antivirus de defensor de Microsoft (o soluciones similares) para todas las implementaciones de SharePoint locas y configure AMSI para habilitar el modo completo.
“Los actores adicionales pueden usar estas exploits para dirigirse a los sistemas de SharePoint sin parpes, enfatizando aún más la condición de que las organizaciones implementen mitigaciones y actualizaciones de seguridad de inmediato”, dijo Microsoft.
Si proporcionadamente la confirmación de Microsoft es la última campaña de piratería vinculada a China, asimismo es la segunda vez que los actores de amenaza alineados en Beijing han atacado al fabricante de Windows. En marzo de 2021, el colectivo adversario rastreado como Typhoon de seda (asimismo conocido como Hafnium) estaba vinculado a una actividad de explotación de masa que aprovechó múltiples días de cero en Exchange Server.
A principios de este mes, un ciudadano chino de 33 abriles, Xu Zewei, fue arrestado en Italia y perceptible de padecer a sitio ataques cibernéticos contra organizaciones estadounidenses y agencias gubernamentales armando las fallas del servidor de Microsoft Exchange, que se conoció como proxylogon.
