Después de la publicación y el lanzamiento del parche de seguridad de julio de 2025 de Microsoft, grupos de amenazas vinculados a China aprovecharon la vulnerabilidad de seguridad **ToolShell** en Microsoft SharePoint para infiltrarse en una empresa de telecomunicaciones en Medio Oriente.
Otros objetivos incluyeron departamentos gubernamentales en un país africano, agencias gubernamentales en Sudamérica, una universidad en los EE. UU., posiblemente una agencia estatal de tecnología en un país africano, un departamento gubernamental en Medio Oriente y una empresa financiera en un país europeo.
Según el equipo Symantec Threat Hunter de Broadcom, los ataques se basaron en la explotación de **CVE-2025-53770**, una falla de seguridad ya corregida en los servidores de SharePoint on-premise que podría utilizarse para eludir la autenticación y lograr la ejecución remota de código.
CVE-2025-53770, evaluado como un bypass de parche para CVE-2025-49704 y CVE-2025-49706, ha sido utilizado como zero-day por tres grupos de amenazas chinos, incluidos Linen Typhoon (alias Budworm), Violet Typhoon (alias Sheathminer) y Storm-2603, este último vinculado al despliegue de las familias de ransomware Warlock, LockBit y Babuk en los últimos meses.
Sin embargo, los últimos hallazgos de Symantec indican que una gama mucho más amplia de actores de amenazas chinos han abusado de la vulnerabilidad. Esto incluye el grupo de hacking Salt Typhoon (alias Glowworm), que se dice que aprovechó la falla de ToolShell para implementar herramientas como Zingdoor, ShadowPad y KrustyLoader contra la entidad de telecomunicaciones y los dos organismos gubernamentales en África.
KrustyLoader, detallado por primera vez por Synacktiv en enero de 2024, es un cargador basado en Rust utilizado anteriormente por un grupo de espionaje vinculado a China denominado UNC5221 en ataques que explotaban fallas en Ivanti Endpoint Manager Mobile (EPMM) y SAP NetWeaver.
Los ataques dirigidos a agencias gubernamentales en América del Sur y una universidad en los EE. UU., por otro lado, involucraron el uso de vulnerabilidades no especificadas para obtener acceso inicial, seguido de la explotación de servidores SQL y servidores Apache HTTP que ejecutaban el software Adobe ColdFusion para entregar las cargas maliciosas utilizando técnicas de carga lateral de DLL.
En algunos de los incidentes, se ha observado a los atacantes ejecutando un exploit para CVE-2021-36942 (alias PetitPotam) para la escalada de privilegios y el compromiso del dominio, junto con una serie de herramientas readily available y living-off-the-land (LotL) para facilitar el escaneo, la descarga de archivos y el robo de credenciales en los sistemas infectados.
“Existe cierta superposición en los tipos de víctimas y algunas de las herramientas utilizadas entre esta actividad y la actividad atribuida previamente a Glowworm”, dijo Symantec. “Sin embargo, no tenemos pruebas suficientes para atribuir de manera concluyente esta actividad a un grupo específico, aunque podemos decir que toda la evidencia apunta a que quienes están detrás son actores de amenazas con sede en China”.
“La actividad llevada a cabo en las redes atacadas indica que los atacantes estaban interesados en robar credenciales y en establecer un acceso persistente y sigiloso a las redes de las víctimas, probablemente con fines de espionaje”.
En INGENIERÍA TELEMÁTICA SAS, recomendamos encarecidamente revisar la seguridad de su entorno Microsoft SharePoint. Si necesita ayuda para proteger su infraestructura o desea conocer más sobre nuestras soluciones de ciberseguridad, incluyendo Fortinet, soluciones de backups y DRP, no dude en contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente.
Fuente original: Ver aquí