Hackers chineses estão por trás dos recentes ataques ao SharePoint, diz Microsoft

Diversos grupos hackers com ligações com o governo chinês foram associados a uma recente onda de ataques cibernéticos em larga escala, explorando uma cadeia de vulnerabilidades de dia zero no Microsoft SharePoint. A campanha, apelidada de "ToolShell", permitiu que esses invasores comprometessem dezenas de organizações em nível mundial, acessando seus servidores SharePoint locais.

A Microsoft confirmou a exploração, identificando pelo menos dois atores estatais chineses, Linen Typhoon e Violet Typhoon, como os principais responsáveis por tirar proveito dessas falhas em servidores SharePoint expostos à internet. Além deles, um outro hacker com base na China, rastreado como Storm-2603, também foi observado utilizando as mesmas vulnerabilidades. Investigações adicionais estão em andamento para identificar outros invasores envolvidos.

Charles Carmakal, CTO da Mandiant Consulting do Google Cloud, enfatizou a complexidade da situação: "Avaliamos que pelo menos um dos atores responsáveis por esta exploração inicial é um hacker com conexão chinesa. É crucial entender que múltiplos atores estão agora explorando ativamente essa vulnerabilidade."

A descoberta desses ataques de dia zero foi feita inicialmente pela empresa holandesa de cibersegurança Eye Security na sexta-feira passada, após a exploração das vulnerabilidades CVE-2025-49706 e CVE-2025-49704. Essas falhas foram demonstradas pela primeira vez no concurso de hacking Berlin Pwn2Own por pesquisadores da Viettel Cyber Security. A Eye Security revelou que pelo menos 54 organizações já foram comprometidas, incluindo diversas multinacionais e entidades governamentais.

Em paralelo, a Check Point informou na segunda-feira que detectou os primeiros sinais de exploração em 7 de julho. Os alvos incluíam dezenas de entidades nos setores governamental, de telecomunicações e de software na América do Norte e Europa Ocidental.

A Microsoft agiu prontamente, lançando patches para as duas falhas como parte das atualizações do Patch Tuesday de julho. Além disso, atribuiu novas IDs CVE (CVE-2025-53770 e CVE-2025-53771) para vulnerabilidades de dia zero usadas por hackers para comprometer servidores SharePoint totalmente corrigidos. A empresa liberou patches de emergência para o SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016 para resolver ambas as falhas de execução remota de código (RCE).

A situação se agravou esta semana com a liberação de um exploit de prova de conceito (PoC) para a vulnerabilidade CVE-2025-53770 no GitHub, tornando mais fácil para um número maior de hackers e grupos hackers se juntarem aos ataques em andamento.

Em resposta à crescente ameaça, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-53770 ao seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais apliquem os patches um dia após seu lançamento. A agência alertou que essa atividade de exploração, conhecida como "ToolShell", fornece acesso não autenticado aos sistemas, permitindo que hackers acessem completamente o conteúdo do SharePoint, incluindo sistemas de arquivos e configurações internas, além de executar código remotamente.

A CISA está colaborando com a Microsoft para notificar entidades potencialmente afetadas sobre as mitigações recomendadas e encoraja todas as organizações com servidores Microsoft SharePoint locais a tomar medidas imediatas. A Microsoft também compartilhou indicadores de comprometimento (IOCs) para auxiliar as equipes de defesa na identificação de servidores SharePoint comprometidos em suas redes:

• 134.199.202[.]205: Endereço IP explorando vulnerabilidades do SharePoint

• 104.238.159[.]149: Endereço IP explorando vulnerabilidades do SharePoint

• 188.130.206[.]168: Endereço IP explorando vulnerabilidades do SharePoint

• 131.226.2[.]6: C2 pós-exploração

• Spinstall0.aspx: Web shell usado por hackers (também nomeado spinstall.aspx, spinstall1.aspx e spinstall2.aspx)

• c34718cbb4c6.ngrok-free[.]app/file.ps1: Túnel Ngrok entregando PowerShell para C2

Via - BC