Microsoft ha revelado que uno de los actores de amenaza detrás de la explotación activa de los defectos de SharePoint está desplegando Ransomware de brujo en sistemas dirigidos.
El gigante tecnológico, en una actualización compartida el miércoles, dijo que los hallazgos se basan en un «análisis ampliado e inteligencia de amenazas de nuestro monitoreo continuo de la actividad de explotación por parte de Storm-2603«
El actor de amenaza atribuido a la actividad de motivación financiera es un presunto actor de amenaza con sede en China que se sabe que lanza Warlock y Lockbit ransomware en el pasado.
Las cadenas de ataque implican la explotación de CVE-2025-49706, una vulnerabilidad de falsificación y CVE-2025-49704, una vulnerabilidad de ejecución de código remoto, dirigido a los servidores SharePoint sin parpes para implementar la carga útil de spinstall0.aspx Web Shell.
«Este acceso inicial se utiliza para realizar la ejecución de comandos utilizando el proceso W3WP.EXE que admite SharePoint», dijo Microsoft. «Storm-2603 luego inicia una serie de comandos de descubrimiento, incluido Whoami, para enumerar el contexto del usuario y validar los niveles de privilegios».
Los ataques se caracterizan por el uso de cmd.exe y scripts por lotes a medida que el actor de amenaza entra más profundamente en la red de destino, mientras que Services.exe está abusado de desactivar las protecciones de defensa de Microsoft modificando el registro de Windows.
Además de aprovechar SpinStall0.aspx para persistencia, se ha observado que Storm-2603 crea tareas programadas y modifica los componentes de los servicios de información de Internet (IIS) para lanzar lo que Microsoft describió como ensamblajes de .NET sospechosos. Estas acciones están diseñadas para garantizar el acceso continuo, incluso si las víctimas toman medidas para conectar los vectores de acceso iniciales.
Algunos de los otros aspectos notables de los ataques incluyen el despliegue de Mimikatz para cosechar credenciales al atacar la memoria del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS), y luego llevar a cabo el movimiento lateral utilizando PSEXEC y la herramienta Impacket.
«Storm-2603 se observa modificando objetos de política de grupo (GPO) para distribuir ransomware de brujo en entornos comprometidos», dijo Microsoft.
Como mitigaciones, se insta a los usuarios a seguir los pasos a continuación –
- Actualizar a versiones compatibles del servidor de SharePoint en las instalaciones
- Aplicar las últimas actualizaciones de seguridad
- Asegúrese de que la interfaz de exploración de antimalware esté activada y configurada correctamente
- Implementar el defensor de Microsoft para el punto final o soluciones equivalentes
- Rotar las teclas de la máquina ASP.NET de SharePoint ASP.NET
- Reinicie IIS en todos los servidores de SharePoint que usan iisreset.exe (si AMSI no se puede habilitar, se recomienda girar las claves y reiniciar IIS después de instalar la nueva actualización de seguridad)
- Implementar un plan de respuesta a incidentes
El desarrollo se produce cuando las fallas del servidor de SharePoint han estado bajo explotación a gran escala, ya reclamando al menos 400 víctimas. El tifón de lino (también conocido como APT27) y el tifón Violet (también conocido como APT31) son otros dos grupos de piratería chinos que han sido vinculados a la actividad maliciosa. China ha negado las acusaciones.
«La ciberseguridad es un desafío común que enfrenta todos los países y debe abordarse conjuntamente a través del diálogo y la cooperación», dijo el portavoz del Ministerio de Relaciones Exteriores de China, Guo Jiakun. «China se opone y lucha contra las actividades de piratería de acuerdo con la ley. Al mismo tiempo, nos oponemos a las manchas y ataques contra China bajo la excusa de los problemas de ciberseguridad».
Actualizar
La firma de ciberseguridad Eset dijo que ha observado la actividad de explotación de la vía de herramienta a nivel mundial, con Estados Unidos representando el 13.3% de todos los ataques, según sus datos de telemetría. Otros objetivos prominentes incluyen el Reino Unido, Italia, Portugal, Francia y Alemania.
«Las víctimas de los ataques de la costa de herramientas incluyen varias organizaciones gubernamentales de alto valor que han sido objetivos de larga data de estos grupos», dijo la compañía eslovaca. «Dado que el gato está fuera de la bolsa ahora, esperamos que muchos más atacantes oportunistas aprovechen los sistemas no parpadeados».
Los datos de Check Point Research han revelado esfuerzos de explotación a gran escala en curso. Al 24 de julio de 2025, se han detectado más de 4600 intentos de compromiso en más de 300 organizaciones en todo el mundo, incluidos el gobierno, el software, las telecomunicaciones, los servicios financieros, los servicios comerciales y los sectores de bienes de consumo.
«Alardando, vemos que los atacantes también aprovechan las vulnerabilidades conocidas de Ivanti EPMM a lo largo de la campaña», dijo Check Point Research.
El análisis de WithSecure de los ataques de la cáscara de herramientas también ha descubierto el despliegue del shell web de Godzilla, lo que sugiere que la actividad puede estar vinculada a una campaña anterior por un actor de amenaza no atribuida en diciembre de 2024 que armó públicamente las claves de la máquina ASP.NET.
«Uno de los objetivos principales de la campaña actual es robar claves de la máquina ASP.NET para mantener el acceso al servidor de SharePoint incluso después de parchear», dijo el proveedor de seguridad finlandés.
Además, los ataques han liderado el camino para otras cargas útiles como los seguidores –
- Información, para recopilar datos del sistema y una lista de procesos en ejecución
- RemoteExec, para ejecutar comandos a través de cmd.exe y devolver las respuestas de la ejecución al actor de amenaza
- ASMLoader, para iniciar un código de shell, ya sea dentro del proceso de ejecución (trabajador IIS) o el proceso remoto
- Un robador personalizado ASP.NET MachineKey similar a SpinStall0.aspx que cosecha los componentes de la ametralladora, junto con el nombre de la máquina y el nombre de usuario
- Badpotato, para aumentar los privilegios
«El uso e implementación de estos sugiere que un actor de amenaza de habla china probablemente participe en esta actividad, sin embargo, la atribución definitiva no se puede hacer en este punto basándose únicamente en estos indicadores», dijo WithSeufre.
Fortinet Fortiguard Labs, que también ha estado rastreando las campañas, dijo que las exploits de la costa de herramientas se han utilizado para cargar un shell web ASP.NET llamado GhostWebshell que está diseñado para la ejecución de comandos arbitrarios a través de CMD.exe y un acceso persistente.
«El shell web ‘Ghostwebshell’ es un shell de comando ligero y residente en la memoria que abusa de manera experta de SharePoint y Asp.net Internal por persistencia, ejecución y evasión avanzada, lo que lo convierte en una herramienta formidable para la explotación posterior», dijo la investigadora de seguridad Cara Lin.
Los ataques también cuentan con una herramienta llamada Keysiphon que funciona similar a la carga útil de shell Web SpinStall0.aspx en el sentido de que captura las claves de validación y descifrado de la aplicación junto con los modos criptográficos elegidos, junto con la información del sistema de recopilación.
«Poseer estos secretos permite a un atacante forjar tokens de autenticación, manipular con ViewState Mac para la deserialización o la manipulación de datos, y descifrar datos protegidos dentro del mismo dominio de aplicación», dijo Fortinet.
(La historia se actualizó después de la publicación para incluir nuevas ideas de ESET, Check Point Research, WithSecure y Fortinet).