Microsoft revela que hackers estatales chinos explotan vulnerabilidades de SharePoint

La nueva actualización crítica de Microsoft revela que grupos de amenazas específicos de estados-nación chinos están explotando activamente vulnerabilidades en sus servidores locales de SharePoint. Tras un informe previo de Hackread.com, que destacó la vulnerabilidad de más de 100 organizaciones a nivel mundial, Microsoft ha identificado a los principales responsables de las intrusiones y ha publicado actualizaciones de seguridad integrales para todas las versiones de SharePoint afectadas.

Los ciberataques en curso se basan en dos vulnerabilidades de día cero distintas: CVE-2025-49706 , una vulnerabilidad de suplantación de identidad que permite a los atacantes engañar a los sistemas, y CVE-2025-49704 , una vulnerabilidad de ejecución remota de código (RCE) que permite ejecutar código malicioso de forma remota. Estas vulnerabilidades están relacionadas con las vulnerabilidades CVE-2025-53770 y CVE-2025-53771, ya mencionadas.

La unidad de Inteligencia de Amenazas de Microsoft confirma que los actores estatales chinos Linen Typhoon, Violet Typhoon y otro grupo con sede en China, identificado como Storm-2603, están explotando estas vulnerabilidades. Los ataques observados comienzan con actores de amenazas que realizan tareas de reconocimiento y envían solicitudes POST manipuladas al endpoint de ToolPane en servidores de SharePoint.

Estos grupos son conocidos por espionaje, robo de propiedad intelectual y ataques persistentes contra infraestructuras web vulnerables. Los ataques son generalizados: CrowdStrike ha registrado cientos de intentos en más de 160 entornos de clientes desde el 18 de julio de 2025.

Linen Typhoon, activo desde 2012, se centra en el robo de propiedad intelectual de los sectores gubernamentales, de defensa y de derechos humanos. Violet Typhoon, rastreado desde 2015, se especializa en el espionaje contra exmilitares, ONG e instituciones financieras, a menudo mediante la búsqueda y explotación de vulnerabilidades.

Si bien Storm-2603 ya ha implementado ransomware como Warlock y Lockbit, sus objetivos actuales con estos exploits de SharePoint aún se están evaluando. A continuación, se presenta un resumen de las actividades de estos grupos:

• Grupo patrocinado por el estado chino
• Anteriormente conocido como hafnio
• Target se centra en el Gobierno, la defensa, las ONG y la educación.
• Conocido por ataques a infraestructuras críticas e instituciones académicas de EE. UU.
• La actividad notable incluye vulnerabilidades explotadas de Microsoft Exchange ( ProxyLogon ).

• Actor de amenazas chino
• Anteriormente conocido como APT41 (también conocido como Bario o Winnti, dependiendo de la actividad)
• Conocido por una mezcla de espionaje respaldado por el Estado y ataques con motivaciones financieras.
• Target se centra en las industrias de la salud, las telecomunicaciones, el software y los juegos.
• Actividad notable : incluye violaciones de la cadena de suministro y actualizaciones de software con puertas traseras.

• Se cree que está vinculado con China
• “Storm” es un nombre temporal que Microsoft utiliza para grupos emergentes o no atribuidos.
• Conocido por explotar vulnerabilidades de día cero en productos de Microsoft
• El enfoque objetivo incluye sistemas gubernamentales y corporativos.
• Su estado está bajo investigación, pero los primeros indicadores apuntan a un origen chino.

Según la investigación de Microsoft, los atacantes están implementando shells web, como archivos spinstall0.aspx modificados, para robar claves de máquina IIS críticas, que pueden eludir la autenticación, y los primeros intentos de explotación se remontan al 7 de julio de 2025. Como señaló anteriormente Shadowserver Foundation, estas puertas traseras persistentes permiten a los piratas informáticos mantener el acceso incluso después de que se actualicen los sistemas.