Se ha identificado que atacantes presuntamente vinculados a China han explotado la vulnerabilidad ToolShell (CVE-2025-53770) en Microsoft SharePoint, dirigiendo sus ataques hacia agencias gubernamentales, universidades, proveedores de telecomunicaciones y organizaciones financieras.
Currently, la organización sin fines de lucro de seguridad Shadowserver está monitoreando más de 420 servidores SharePoint expuestos en la red que continúan siendo vulnerables a estos ataques, para los cuales existen exploits disponibles.
Como consecuencia de esta vulnerabilidad, un actor extranjero logró infiltrarse en el Campus de Seguridad Nacional de Kansas City de la Administración Nacional de Seguridad Nuclear (KCNSC).
La seguridad
afecta a los servidores locales de SharePoint
y fue reportada como un día cero explotado el 20 de julio, después de que múltiples grupos de piratas informáticos asociados a China lo utilizaran en ataques a gran escala. Microsoft emitió actualizaciones de emergencia al día siguiente.
Este problema se relaciona con las vulnerabilidades
CVE-2025-49706
y
CVE-2025-49704, dos fallas que investigadores de Viettel Cyber Security habían evidenciado en la competencia de hacking Pwn2Own Berlín en mayo, las cuales pueden ser explotadas de forma remota sin necesidad de autenticación para ejecutar código y acceder completamente al sistema de archivos.
Microsoft ha indicado previamente que ToolShell fue utilizado por tres grupos de amenazas chinos: Budworm/Linen Typhoon, Sheathminer/Violet Typhoon y Storm-2603/Warlock ransomware.
En un nuevo informe, Symantec, parte de Broadcom, comunica que ToolShell se empleó para comprometer diversas organizaciones en Medio Oriente, América del Sur, EE. UU. y África, utilizando malware generalmente asociado a los hackers chinos de Salt Typhoon:
- Un proveedor de servicios de telecomunicaciones en Medio Oriente
- Dos entidades gubernamentales en un país africano
- Dos agencias gubernamentales en Sudamérica
- Una universidad en Estados Unidos
- Una agencia estatal de tecnología en África
- Un departamento gubernamental en Medio Oriente
- Una institución financiera europea
CISA también ha incorporado la falla de ejecución remota de código CVE-2025-53770, parte de la misma cadena de exploits de ToolShell, a su catálogo de vulnerabilidades explotadas.
La actividad en la empresa de telecomunicaciones, foco del informe de Symantec, comenzó el 21 de julio con la explotación de CVE-2025-53770 para instalar webshells que posibilitaron el acceso persistente.
Posteriormente, se realizó una carga lateral de DLL con una puerta trasera basada en Go llamada Zingdoor, capaz de recopilar datos del sistema, ejecutar operaciones de archivos y también permitir la ejecución remota de comandos.
A continuación, otro paso de carga lateral lanzó «lo que parece ser el troyano ShadowPad», según indicaron los investigadores, quienes también señalaron que esta acción fue seguida por la eliminación de la herramienta KrustyLoader basada en Rust, que finalmente permitió implementar el marco de post-explotación de código abierto Sliver.
Es relevante mencionar que los pasos de carga lateral se llevaron a cabo utilizando ejecutables legítimos de Trend Micro y BitDefender. En los ataques en América del Sur, los actores de amenazas emplearon un archivo con un nombre similar al de Symantec.
Luego, los atacantes realizaron un volcado de credenciales utilizando ProcDump, Minidump y LsassDumper, y aprovecharon PetitPotam (CVE-2021-36942) para comprometer el dominio.
Los investigadores subrayan que la lista de herramientas LoLBins utilizadas en los ataques incluye la utilidad Certutil de Microsoft, el GoGo Scanner (un motor de escaneo para equipos rojos) y la utilidad Revsocks que permite filtración de datos, control y persistencia en el dispositivo comprometido.
Symantec concluye que sus hallazgos sugieren que la explotación de la vulnerabilidad ToolShell fue llevada a cabo por un grupo de actores de amenazas chinos más extenso de lo que se había documentado anteriormente.
Detalles del ataque a KCNSC
Los atacantes explotaron dos vulnerabilidades recientes de Microsoft SharePoint: CVE-2025-53770, una falla de suplantación de identidad, y CVE-2025-49704, un error de ejecución remota de código (RCE), ambas afectando servidores locales. Microsoft lanzó correcciones para estas vulnerabilidades el 19 de julio.
El 22 de julio, la organización informó que había sido víctima de ataques facilitados por vulnerabilidades de SharePoint. Situada en Missouri, la KCNSC produce componentes mecánicos, electrónicos y materiales de ingeniería no nucleares utilizados en sistemas de defensa nuclear de EE. UU. Además, proporciona servicios técnicos especializados como análisis metalúrgicos, química analítica, pruebas ambientales y modelos de simulación.
Aproximadamente el 80% de las piezas no nucleares del arsenal nuclear estadounidense son suministradas por KCNSC, aunque gran parte de los detalles de diseño y programación se mantienen clasificados.
«Los clientes deben aplicar de inmediato las actualizaciones de seguridad de SharePoint Server y seguir la guía de mitigación proporcionada en nuestro blog«, advirtió Microsoft.
Fuente:
BC
Con Información de blog.segu-info.com.ar