El 7 de julio de 2025, Microsoft vinculó oficialmente la explotación de fallas de seguridad en instancias de servidor de SharePoint para Internet con dos grupos de piratería chinos llamados Typhoon y Typhoon Violet, que respaldan un informe temprano.
El gigante tecnológico también observó un tercer actor de amenaza con sede en China que rastrea la tormenta-2603, diciendo que armería los defectos para obtener acceso temprano a la organización objetivo.
«Con la rápida adopción de estas exploits, Microsoft confía en que los actores de amenaza continuarán integrándolos en ataques contra SharePoint Systems impagos», dijo Tech Giant en un informe publicado hoy.
A continuación se puede encontrar una breve descripción del clúster de actividad de amenazas –
Los tipos de lino (también conocidos como APT27, Bronze Union, Emily Panda, Yodine, Lucky Mouse, Red Phoenix y UNC215) se atribuyeron a las familias de malware como Sysupdate, Hyperbro, Hyperbro y Typhoon de Violet Tivulet antes de 2012.
Se ha encontrado que las vulnerabilidades que afectan a los servidores de SharePoint en las instalaciones aprovechan las correcciones incompletas para la falsificación CVE-2025-49706 y el error de ejecución de código remoto CVE-2025-49704. A la derivación se le asigna CVE-2025-53771 y CVE-2025-53770, respectivamente.
El ataque observado por Microsoft descubrió que los actores de amenaza estaban utilizando servidores de SharePoint locales a través de solicitudes posteriores a los puntos finales de la pluma de herramientas. Esto da como resultado el omisión de la autenticación y la ejecución del código remoto.
Como lo revelan otros proveedores de ciberseguridad, la cadena de enfermedades infecciosas allana el camino para el despliegue de un caparazón web llamado «spinstall0.aspx» (también conocido como spinstall.aspx, spinstall1.aspx o spinstall2.aspx), donde los enemigos pueden recuperar y robar datos de máquina.
El investigador de ciberseguridad Rakesh Krishnan dijo durante un análisis forense de SharePoint Exploit, «se identificaron tres llamadas diferentes de Microsoft Edge». Esto incluye procesos de utilidad de red, manipuladores de almohadillas y procesos de GPU.
«Cada uno de los cuales cumple una función única dentro de la arquitectura de Chromium, revela colectivamente estrategias para imitar el comportamiento y la evitación de los sandboxing», dijo Krishnan, llamando la atención sobre el uso del protocolo de actualización del cliente de Web Shell (CUP), «combinando el tráfico malicioso y las verificaciones de actualizaciones benignas».
Para mitigar las poses de riesgo por amenazas, es esencial que los usuarios apliquen las últimas actualizaciones para la edición de suscripción de SharePoint Server, SharePoint Server 2019 y SharePoint Server 2016, e implementen las claves de la máquina ASP.NET de SharePoint ASP.NET, reinicie los servicios de información de Internet (IIS) y Microsoft Defender para un punto final o soluciones equivalentes.
También recomendamos integrar y habilitar la interfaz anti-Malware de escaneo (AMSI) y Microsoft Defender (o solución similar) para todas las implementaciones de SharePoint locales, y la configuración de AMSI para habilitar el modo completo.
«Los actores adicionales pueden usar estas exploits para apuntar a los sistemas de SharePoint no publicados y resaltar aún más la necesidad de que las organizaciones implementen actualizaciones de mitigación y seguridad de inmediato», dijo Microsoft.
La última campaña de piratería vinculada a China ha sido confirmada en Microsoft, pero esta es la segunda vez que un actor de amenaza en Beijing se dirige a los fabricantes de Windows. En marzo de 2021, la población hostil rastreada como tipo de seda (también conocida como Hafnium) se vinculó a una actividad de extracción de masa que utilizaba múltiples días de cero en los servidores de intercambio.
A principios de este mes, el ciudadano chino de 33 años, Xu Zewei, fue arrestado en Italia y acusado de llevar a cabo un ataque cibernético sobre las organizaciones estadounidenses y las agencias gubernamentales armando un defecto en Microsoft Exchange Server, que se conoce como proxylogon.
Source link
