Microsoft ha vinculado formalmente la explotación de fallas de seguridad en las instancias de servidor de SharePoint orientados a Internet a dos grupos de piratería chinos llamados Typhoon y Typhoon Violet de Linen ya en el 7 de julio de 2025, corroborando informes anteriores.
El gigante tecnológico dijo que también observó un tercer actor de amenaza con sede en China, que rastrea como Storm-2603, con el armamento de los fallas para obtener acceso inicial a las organizaciones objetivo.
«Con la rápida adopción de estas hazañas, Microsoft evalúa con alta confianza de que los actores de amenaza continuarán integrándolos en sus ataques contra los sistemas de SharePoint sin pares», dijo el gigante tecnológico en un informe publicado hoy.
Una breve descripción de los grupos de actividad de amenaza está a continuación –
- Tifón de línea (también conocido como Apt27, Bronze Union, Emissary Panda, Yodine, Lucky Mouse, Red Phoenix y UNC215), que está activo desde 2012 y se ha atribuido previamente a familias de malware como Sysupdate, Hyperbro y Plugx
- Tifón Violet (también conocido como APT31, Bronce Vinewood, Judgment Panda, Red Keres y Zirconio), que está activo desde 2015 y se ha atribuido previamente ataques dirigidos a los Estados Unidos, Finlandia y Chechia
- Storm-2603un presunto actor de amenaza con sede en China que ha desplegado el ransomware Warlock y Lockbit en el pasado
Se ha encontrado que las vulnerabilidades, que afectan los servidores de SharePoint locales, aprovechan las correcciones incompletas para CVE-2025-49706, una falla de falsificación y CVE-2025-49704, un error de ejecución de código remoto. Se les ha asignado a los bypass a los identificadores CVE CVE-2025-53771 y CVE-2025-53770, respectivamente.
En los ataques observados por Microsoft, se ha encontrado que los actores de amenaza explotan los servidores de SharePoint en las instalaciones a través de una solicitud posterior al punto final de Toolpane, lo que resulta en un bypass de autenticación y una ejecución de código remoto.
Según lo revelado por otros proveedores de seguridad cibernética, las cadenas de infección allanan el camino para el despliegue de un shell web llamado «spinstall0.aspx» (también conocido como spinstall.aspx, spinstall1.aspx o spinstall2.aspx) que permite a los adversarios recuperar y robar datos de ames de máquina.
El investigador de ciberseguridad Rakesh Krishnan dijo que «se identificaron tres invocaciones distintas de Microsoft Edge» durante el análisis forense de un exploit de SharePoint. Esto incluye el proceso de utilidad de red, el controlador CrashPad y el proceso de GPU.
«Cada uno sirve una función única dentro de la arquitectura de Chromium, pero colectivamente revela una estrategia de mimetismo conductual y evasión de sandbox», señaló Krishnan, al tiempo que llama la atención sobre el uso del protocolo de actualización del cliente de Google (copa) con «combinar el tráfico malicioso con las comprobaciones de actualizaciones benignas».
Para mitigar el riesgo planteado por la amenaza, es esencial que los usuarios apliquen la última actualización para la edición de suscripción de SharePoint Server, SharePoint Server 2019 y SharePoint Server 2016, rotar las claves de la máquina ASP.NET de SharePoint Servidor, reiniciar los servicios de información de Internet (IIS) e implementar Microsoft Defender para un punto final o soluciones equivalentes.
También se recomienda integrar y habilitar la interfaz de escaneo de antimalware (AMSI) y el antivirus de defensor de Microsoft (o soluciones similares) para todas las implementaciones de SharePoint locas y configure AMSI para habilitar el modo completo.
«Los actores adicionales pueden usar estas exploits para dirigirse a los sistemas de SharePoint sin parpes, enfatizando aún más la necesidad de que las organizaciones implementen mitigaciones y actualizaciones de seguridad de inmediato», dijo Microsoft.
Si bien la confirmación de Microsoft es la última campaña de piratería vinculada a China, también es la segunda vez que los actores de amenaza alineados en Beijing han atacado al fabricante de Windows. En marzo de 2021, el colectivo adversario rastreado como Typhoon de seda (también conocido como Hafnium) estaba vinculado a una actividad de explotación de masa que aprovechó múltiples días de cero en Exchange Server.
A principios de este mes, un ciudadano chino de 33 años, Xu Zewei, fue arrestado en Italia y acusado de llevar a cabo ataques cibernéticos contra organizaciones estadounidenses y agencias gubernamentales armando las fallas del servidor de Microsoft Exchange, que se conoció como proxylogon.