Microsoft ha vinculado formalmente la explotación de fallas de seguridad en las instancias de servidor de SharePoint orientados a Internet a dos grupos de piratería chinos llamados Typhoon y Typhoon Violet de Linen ya en el 7 de julio de 2025, corroborando informes anteriores.
El hércules tecnológico dijo que además observó un tercer actor de amenaza con sede en China, que rastrea como Storm-2603, con el armamento de los fallas para obtener comunicación original a las organizaciones objetivo.
«Con la rápida apadrinamiento de estas hazañas, Microsoft evalúa con adhesión confianza de que los actores de amenaza continuarán integrándolos en sus ataques contra los sistemas de SharePoint sin pares», dijo el hércules tecnológico en un mensaje publicado hoy.
Una breve descripción de los grupos de actividad de amenaza está a continuación –
- Tifón de renglón (además conocido como Apt27, Bronze Union, Emissary Panda, Yodine, Lucky Mouse, Red Phoenix y UNC215), que está activo desde 2012 y se ha atribuido previamente a familias de malware como Sysupdate, Hyperbro y Plugx
- Tifón Violet (además conocido como APT31, Bronce Vinewood, Judgment Panda, Red Keres y Zirconio), que está activo desde 2015 y se ha atribuido previamente ataques dirigidos a los Estados Unidos, Finlandia y Chechia
- Tormenta-2603un supuesto actor de amenaza con sede en China que ha desplegado el ransomware Warlock y Lockbit en el pasado
Se ha incompatible que las vulnerabilidades, que afectan los servidores de SharePoint locales, aprovechan las correcciones incompletas para CVE-2025-49706, una descompostura de falsificación y CVE-2025-49704, un error de ejecución de código remoto. Se les ha asignado a los bypass a los identificadores CVE CVE-2025-53771 y CVE-2025-53770, respectivamente.
En los ataques observados por Microsoft, se ha incompatible que los actores de amenaza explotan los servidores de SharePoint en las instalaciones a través de una solicitud posterior al punto final de Toolpane, lo que resulta en un bypass de autenticación y una ejecución de código remoto.
Según lo revelado por otros proveedores de seguridad cibernética, las cadenas de infección allanan el camino para el despliegue de un shell web llamado «spinstall0.aspx» (además conocido como spinstall.aspx, spinstall1.aspx o spinstall2.aspx) que permite a los adversarios recuperar y robar datos de ames de máquina.
El investigador de ciberseguridad Rakesh Krishnan dijo que «se identificaron tres invocaciones distintas de Microsoft Edge» durante el descomposición forense de un exploit de SharePoint. Esto incluye el proceso de utilidad de red, el regulador CrashPad y el proceso de GPU.
«Cada uno sirve una función única internamente de la cimentación de Chromium, pero colectivamente revela una organización de mimetismo conductual y esparcimiento de sandbox», señaló Krishnan, al tiempo que pasión la atención sobre el uso del protocolo de modernización del cliente de Google (copa) con «combinar el tráfico astuto con las comprobaciones de actualizaciones benignas».
Para mitigar el aventura planteado por la amenaza, es esencial que los usuarios apliquen la última modernización para la tirada de suscripción de SharePoint Server, SharePoint Server 2019 y SharePoint Server 2016, rotar las claves de la máquina ASP.NET de SharePoint Servidor, reiniciar los servicios de información de Internet (IIS) e implementar Microsoft Defender para un punto final o soluciones equivalentes.
Incluso se recomienda integrar y habilitar la interfaz de escaneo de antimalware (AMSI) y el antivirus de defensor de Microsoft (o soluciones similares) para todas las implementaciones de SharePoint locas y configure AMSI para habilitar el modo completo.
«Los actores adicionales pueden usar estas exploits para dirigirse a los sistemas de SharePoint sin parpes, enfatizando aún más la pobreza de que las organizaciones implementen mitigaciones y actualizaciones de seguridad de inmediato», dijo Microsoft.
Si admisiblemente la confirmación de Microsoft es la última campaña de piratería vinculada a China, además es la segunda vez que los actores de amenaza alineados en Beijing han atacado al fabricante de Windows. En marzo de 2021, el colectivo adversario rastreado como Typhoon de seda (además conocido como Hafnium) estaba vinculado a una actividad de explotación de masa que aprovechó múltiples días de cero en Exchange Server.
A principios de este mes, un ciudadano chino de 33 abriles, Xu Zewei, fue arrestado en Italia y destacado de transigir a mango ataques cibernéticos contra organizaciones estadounidenses y agencias gubernamentales armando las fallas del servidor de Microsoft Exchange, que se conoció como proxylogon.
