Después de ser publicado y parcheado en julio de 2025, los atacantes vinculados a China explotaron la vulnerabilidad de seguridad ToolShell en Microsoft SharePoint para infiltrarse en empresas de telecomunicaciones en Medio Oriente.
Además de las agencias gubernamentales de los países africanos, también fueron atacadas las agencias gubernamentales de América del Sur y las universidades de los Estados Unidos, así como las instituciones tecnológicas nacionales de África, las agencias gubernamentales de Medio Oriente y las empresas financieras de los países europeos.
Según el equipo Symantec Threat Hunter de Broadcom, este ataque incluyó una explotación de CVE-2025-53770. CVE-2025-53770 es una falla de seguridad actualmente parcheada en servidores SharePoint locales que se puede usar para evitar la autenticación y ejecutar código remoto.
Se considera que CVE-2025-53770 es un parche para evitar CVE-2025-49704 y CVE-2025-49706, y tres grupos de amenazas chinos lo han convertido en un arma de día cero, incluido Linen Typhoon (también conocido como Budworm), Violet Typhoon (también conocido como Sheathminer) y Storm 2603, este último en los últimos meses. Familias de ransomware Warlock, LockBit y Babuk.
Sin embargo, los últimos hallazgos de Symantec indican que una gama mucho más amplia de atacantes chinos están explotando esta vulnerabilidad. Esto incluye Salt Typhoon (también conocido como Glowworm), un grupo de piratas informáticos que se dice que aprovechó las fallas en ToolShell para implementar herramientas como Zingdoor, ShadowPad y KrustyLoader contra operadores de telecomunicaciones y dos agencias gubernamentales en África.
KrustyLoader, detallado por primera vez por Synacktiv en enero de 2024, es un cargador basado en Rust utilizado anteriormente por un grupo de espías alineado con China conocido como UNC5221 en ataques que explotaron fallas en Ivanti Endpoint Manager Mobile (EPMM) y SAP NetWeaver.
Mientras tanto, los ataques dirigidos a agencias gubernamentales en América del Sur y universidades en los Estados Unidos aprovecharon vulnerabilidades no especificadas para obtener acceso inicial, luego explotaron servidores SQL y servidores HTTP Apache que ejecutaban el software Adobe ColdFusion para entregar cargas útiles maliciosas utilizando técnicas de descarga de DLL.
En algunos incidentes, se ha observado a los atacantes ejecutando exploits de CVE-2021-36942 (también conocido como PetitPotam) para escalar privilegios y comprometer el dominio, así como una serie de herramientas de vida fuera de la tierra (LotL) disponibles que facilitan el escaneo, la descarga de archivos y el robo de credenciales en sistemas infectados.
«Hay algunas superposiciones entre esta actividad y la actividad previamente atribuida a las luciérnagas en los tipos de víctimas y algunas de las herramientas utilizadas», dijo Symantec. «Sin embargo, si bien no hay evidencia suficiente para vincular de manera concluyente esta actividad con ningún grupo específico, toda la evidencia apunta a que las personas detrás de esta actividad son actores de amenazas con sede en China».
«La actividad realizada en las redes objetivo indica que los atacantes estaban interesados en robar credenciales y establecer un acceso persistente y sigiloso a la red de la víctima, probablemente con fines de espionaje».
Source link
