Los actores de amenazas con vínculos con China explotaron la Shell de herramientas Vulnerabilidad de seguridad en Microsoft SharePoint para violar una empresa de telecomunicaciones en el Medio Oriente después de que fuera divulgada públicamente y parcheada en julio de 2025.
También se atacaron departamentos gubernamentales de un país africano, así como agencias gubernamentales de América del Sur, una universidad de Estados Unidos, así como probablemente una agencia estatal de tecnología de un país africano, un departamento gubernamental de Medio Oriente y una empresa financiera de un país europeo.
Según el equipo Symantec Threat Hunter de Broadcom, los ataques involucraron la explotación de CVE-2025-53770, una falla de seguridad ahora parcheada en servidores SharePoint locales que podría usarse para evitar la autenticación y lograr la ejecución remota de código.
CVE-2025-53770, evaluado como un parche de derivación para CVE-2025-49704 y CVE-2025-49706, ha sido convertido en arma de día cero por tres grupos de amenazas chinos, incluidos Linen Typhoon (también conocido como Budworm), Violet Typhoon (también conocido como Sheathminer) y Storm-2603, el último de los cuales está vinculado al despliegue de Warlock. LockBit y Babuk ransomware familias en los últimos meses.
Sin embargo, los últimos hallazgos de Symantec indican que una gama mucho más amplia de actores de amenazas chinos han abusado de la vulnerabilidad. Esto incluye al grupo de hackers Salt Typhoon (también conocido como Glowworm), que se dice que aprovechó la falla de ToolShell para implementar herramientas como Zingdoor, ShadowPad y KrustyLoader contra la entidad de telecomunicaciones y los dos organismos gubernamentales en África.
KrustyLoader, detallado por primera vez por Synacktiv en enero de 2024, es un cargador basado en Rust utilizado anteriormente por un grupo de espionaje del nexo con China denominado UNC5221 en ataques que explotan fallas en Ivanti Endpoint Manager Mobile (EPMM) y SAP NetWeaver.
Por otra parte, los ataques dirigidos a agencias gubernamentales de Sudamérica y a una universidad de EE. UU. implicaron el uso de vulnerabilidades no especificadas para obtener acceso inicial, seguido de la explotación de servidores SQL y servidores HTTP Apache que ejecutaban el software Adobe ColdFusion para entregar cargas útiles maliciosas utilizando técnicas de carga lateral de DLL.
En algunos de los incidentes, se ha observado a los atacantes ejecutando un exploit para CVE-2021-36942 (también conocido como PetitPotam) para escalar privilegios y comprometer el dominio, junto con una serie de herramientas disponibles y disponibles para facilitar el escaneo, la descarga de archivos y el robo de credenciales en los sistemas infectados.
«Existe cierta superposición en los tipos de víctimas y algunas de las herramientas utilizadas entre esta actividad y la actividad previamente atribuida a Glowworm», dijo Symantec. «Sin embargo, no tenemos pruebas suficientes para atribuir de manera concluyente esta actividad a un grupo específico, aunque podemos decir que todas las pruebas apuntan a que quienes están detrás de ella son actores de amenazas con sede en China».
«La actividad llevada a cabo en las redes objetivo indica que los atacantes estaban interesados en robar credenciales y en establecer un acceso persistente y sigiloso a las redes de las víctimas, probablemente con fines de espionaje».