Los actores de amenazas con vínculos con China explotaron la Shell de herramientas Vulnerabilidad de seguridad en Microsoft SharePoint para violar una empresa de telecomunicaciones en el Medio Oriente después de que fuera divulgada públicamente y parcheada en julio de 2025.
También se atacaron departamentos gubernamentales de un país africano, así como agencias gubernamentales de América del Sur, una universidad de Estados Unidos, así como probablemente una agencia estatal de tecnología de un país africano, un departamento gubernamental de Medio Oriente y una empresa financiera de un país europeo.
Según el equipo Symantec Threat Hunter de Broadcom, los ataques involucrado la explotación de CVE-2025-53770una falla de seguridad ahora parcheada en servidores SharePoint locales que podría usarse para evitar la autenticación y lograr la ejecución remota de código.
CVE-2025-53770, evaluado como un bypass de parche para CVE-2025-49704 y CVE-2025-49706, ha sido convertido en arma como día cero por tres grupos de amenaza chinosincluido Linen Typhoon (también conocido como Budworm), Violet Typhoon (también conocido como Sheathminer) y Storm-2603, el último de los cuales está vinculado al despliegue de Familias de ransomware Warlock, LockBit y Babuk en los últimos meses.
Sin embargo, los últimos hallazgos de Symantec indican que una gama mucho más amplia de actores de amenazas chinos han abusado de la vulnerabilidad. Esto incluye el Tifón de sal (también conocido como Glowworm), que se dice que aprovechó la falla de ToolShell para implementar herramientas como Zingdoor, SombraPady KrustyLoader contra la entidad de telecomunicaciones y los dos organismos gubernamentales en África.
KrustyLoader, primero detallado por Synacktiv en enero de 2024, es un cargador basado en Rust utilizado anteriormente por un grupo de espionaje del nexo de China denominado UNC5221 en ataques que explotan fallas en Ivanti Endpoint Manager Mobile (EPMM) y SAP NetWeaver.
Por otra parte, los ataques dirigidos a agencias gubernamentales de Sudamérica y a una universidad de EE. UU. implicaron el uso de vulnerabilidades no especificadas para obtener acceso inicial, seguido de la explotación de servidores SQL y servidores HTTP Apache que ejecutaban el software Adobe ColdFusion para entregar cargas útiles maliciosas utilizando técnicas de carga lateral de DLL.
En algunos de los incidentes, se ha observado a los atacantes ejecutando un exploit para CVE-2021-36942 (también conocido como PetitPotam) para escalar privilegios y comprometer dominios, junto con una serie de herramientas fácilmente disponibles y que viven de la tierra (LotL) para facilitar el escaneo, la descarga de archivos y el robo de credenciales en los sistemas infectados.
«Existe cierta superposición en los tipos de víctimas y algunas de las herramientas utilizadas entre esta actividad y la actividad previamente atribuida a Glowworm», dijo Symantec. «Sin embargo, no tenemos pruebas suficientes para atribuir de manera concluyente esta actividad a un grupo específico, aunque podemos decir que todas las pruebas apuntan a que quienes están detrás de ella son actores de amenazas con sede en China».
«La actividad llevada a cabo en las redes objetivo indica que los atacantes estaban interesados en robar credenciales y en establecer un acceso persistente y sigiloso a las redes de las víctimas, probablemente con fines de espionaje».
Fuente