Los actores de amenazas con vínculos con China explotaron la Carcasa de herramientas vulnerabilidad de seguridad en Microsoft SharePoint para violar una empresa de telecomunicaciones en Oriente Medio después de que se divulgara públicamente y se parcheara en julio de 2025.
También fueron atacados los departamentos gubernamentales de un país africano, así como las agencias gubernamentales de Sudamérica, una universidad de los EE. UU., y probablemente una agencia estatal de tecnología de un país africano, un departamento gubernamental de Oriente Medio y una empresa financiera de un país europeo.
Según el equipo Symantec Threat Hunter de Broadcom, los ataques implicado la explotación de CVE-2025-53770 , una falla de seguridad ahora corregida en los servidores de SharePoint locales que podría usarse para eludir la autenticación y lograr la ejecución remota de código.
El CVE-2025-53770, considerado un parche de elusión para el CVE-2025-49704 y el CVE-2025-49706, ha sido convertido en arma como día cero por tres grupos de amenaza chinos , incluidos Linen Typhoon (también conocido como Budworm), Violet Typhoon (también conocido como Sheathminer) y Storm-2603, el último de los cuales está vinculado al despliegue de Familias de ransomware Warlock, LockBit y Babuk en los últimos meses.
Sin embargo, los últimos hallazgos de Symantec indican que una gama mucho más amplia de actores de amenazas chinos han abusado de la vulnerabilidad. Esto incluye el Tifón salino grupo de hackers (también conocido como Glowworm), del que se dice que aprovechó la falla de ToolShell para implementar herramientas como Zingdoor , ShadowPad , y KrustyLoader contra la entidad de telecomunicaciones y los dos organismos gubernamentales de África.
KrustyLoader, primero detallada de Synacktiv en enero de 2024, es un cargador basado en Rust utilizado anteriormente por un grupo de espionaje relacionado con China denominado UNC5221 en ataques que aprovechaban las fallas de Ivanti Endpoint Manager Mobile ( EPMM ) y SAP NetWeaver .
Los ataques dirigidos a agencias gubernamentales de Sudamérica y a una universidad de EE. UU., por otro lado, implicaron el uso de vulnerabilidades no especificadas para obtener el acceso inicial, seguido de la explotación de servidores SQL y servidores HTTP Apache que ejecutaban el software Adobe ColdFusion para entregar las cargas maliciosas mediante técnicas de carga lateral de DLL.
En algunos de los incidentes, se ha observado a los atacantes ejecutando un exploit para CVE-2021-36942 (también conocido como PetitPotAm) para escalar privilegios y comprometer dominios, junto con una serie de herramientas fácilmente disponibles y fáciles de usar (LotL) para facilitar el escaneo, la descarga de archivos y el robo de credenciales en los sistemas infectados.
«Hay cierta superposición entre los tipos de víctimas y algunas de las herramientas utilizadas entre esta actividad y la actividad anteriormente atribuida a Glowworm», afirma Symantec. «Sin embargo, no tenemos pruebas suficientes para atribuir de manera concluyente esta actividad a un grupo específico, aunque sí podemos decir que todas las pruebas apuntan a que quienes están detrás de ella son actores de amenazas radicados en China».
«La actividad llevada a cabo en las redes objetivo indica que los atacantes estaban interesados en robar credenciales y establecer un acceso persistente y sigiloso a las redes de las víctimas, probablemente con fines de espionaje».