Hackers chineses estão por trás dos recentes ataques ao SharePoint, diz Microsoft
- Cyber Security Brazil
- 23 de jul.
- 3 min de leitura

Diversos grupos hackers com ligações com o governo chinês foram associados a uma recente onda de ataques cibernéticos em larga escala, explorando uma cadeia de vulnerabilidades de dia zero no Microsoft SharePoint. A campanha, apelidada de "ToolShell", permitiu que esses invasores comprometessem dezenas de organizações em nível mundial, acessando seus servidores SharePoint locais.
A Microsoft confirmou a exploração, identificando pelo menos dois atores estatais chineses, Linen Typhoon e Violet Typhoon, como os principais responsáveis por tirar proveito dessas falhas em servidores SharePoint expostos à internet. Além deles, um outro hacker com base na China, rastreado como Storm-2603, também foi observado utilizando as mesmas vulnerabilidades. Investigações adicionais estão em andamento para identificar outros invasores envolvidos.
Charles Carmakal, CTO da Mandiant Consulting do Google Cloud, enfatizou a complexidade da situação: "Avaliamos que pelo menos um dos atores responsáveis por esta exploração inicial é um hacker com conexão chinesa. É crucial entender que múltiplos atores estão agora explorando ativamente essa vulnerabilidade."
A descoberta desses ataques de dia zero foi feita inicialmente pela empresa holandesa de cibersegurança Eye Security na sexta-feira passada, após a exploração das vulnerabilidades CVE-2025-49706 e CVE-2025-49704. Essas falhas foram demonstradas pela primeira vez no concurso de hacking Berlin Pwn2Own por pesquisadores da Viettel Cyber Security. A Eye Security revelou que pelo menos 54 organizações já foram comprometidas, incluindo diversas multinacionais e entidades governamentais.
Em paralelo, a Check Point informou na segunda-feira que detectou os primeiros sinais de exploração em 7 de julho. Os alvos incluíam dezenas de entidades nos setores governamental, de telecomunicações e de software na América do Norte e Europa Ocidental.
A Microsoft agiu prontamente, lançando patches para as duas falhas como parte das atualizações do Patch Tuesday de julho. Além disso, atribuiu novas IDs CVE (CVE-2025-53770 e CVE-2025-53771) para vulnerabilidades de dia zero usadas por hackers para comprometer servidores SharePoint totalmente corrigidos. A empresa liberou patches de emergência para o SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016 para resolver ambas as falhas de execução remota de código (RCE).
A situação se agravou esta semana com a liberação de um exploit de prova de conceito (PoC) para a vulnerabilidade CVE-2025-53770 no GitHub, tornando mais fácil para um número maior de hackers e grupos hackers se juntarem aos ataques em andamento.
Em resposta à crescente ameaça, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-53770 ao seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais apliquem os patches um dia após seu lançamento. A agência alertou que essa atividade de exploração, conhecida como "ToolShell", fornece acesso não autenticado aos sistemas, permitindo que hackers acessem completamente o conteúdo do SharePoint, incluindo sistemas de arquivos e configurações internas, além de executar código remotamente.
A CISA está colaborando com a Microsoft para notificar entidades potencialmente afetadas sobre as mitigações recomendadas e encoraja todas as organizações com servidores Microsoft SharePoint locais a tomar medidas imediatas. A Microsoft também compartilhou indicadores de comprometimento (IOCs) para auxiliar as equipes de defesa na identificação de servidores SharePoint comprometidos em suas redes:
134.199.202[.]205: Endereço IP explorando vulnerabilidades do SharePoint
104.238.159[.]149: Endereço IP explorando vulnerabilidades do SharePoint
188.130.206[.]168: Endereço IP explorando vulnerabilidades do SharePoint
131.226.2[.]6: C2 pós-exploração
Spinstall0.aspx: Web shell usado por hackers (também nomeado spinstall.aspx, spinstall1.aspx e spinstall2.aspx)
c34718cbb4c6.ngrok-free[.]app/file.ps1: Túnel Ngrok entregando PowerShell para C2
Via - BC
Comments