Microsoft revela que hackers estatais chineses estão explorando falhas do SharePoint

A nova atualização crítica da Microsoft revela que grupos de ameaças específicos de Estados-nação chineses estão explorando ativamente vulnerabilidades em seus servidores SharePoint locais. Após um relatório anterior do Hackread.com, que destacou o comprometimento de mais de 100 organizações em todo o mundo, a Microsoft identificou os principais responsáveis pelas invasões e lançou atualizações de segurança abrangentes para todas as versões afetadas do SharePoint.

Os ataques cibernéticos em andamento utilizam duas falhas distintas de dia zero: a CVE-2025-49706 , uma vulnerabilidade de spoofing que permite aos invasores enganar os sistemas, e a CVE-2025-49704 , uma vulnerabilidade de execução remota de código (RCE) que permite a execução remota de códigos maliciosos. Essas falhas estão relacionadas às falhas CVE-2025-53770 e CVE-2025-53771 , já destacadas.

A unidade de Inteligência de Ameaças da Microsoft confirma que agentes estatais chineses, como Linen Typhoon, Violet Typhoon e outro grupo chinês identificado como Storm-2603, estão explorando essas vulnerabilidades. Os ataques observados começam com agentes de ameaças realizando reconhecimento e enviando solicitações POST elaboradas para o endpoint do ToolPane em servidores SharePoint.

Esses grupos são conhecidos por espionagem, roubo de propriedade intelectual e por perseguir persistentemente infraestruturas web expostas. Os ataques são generalizados, com a CrowdStrike observando centenas de tentativas em mais de 160 ambientes de clientes desde 18 de julho de 2025.

O Linen Typhoon, ativo desde 2012, concentra-se no roubo de propriedade intelectual dos setores governamental, de defesa e de direitos humanos. O Violet Typhoon, rastreado desde 2015, é especializado em espionagem contra ex-militares, ONGs e instituições financeiras, frequentemente por meio da busca e exploração de vulnerabilidades.

Embora o Storm-2603 já tenha implantado ransomwares como Warlock e Lockbit, seus objetivos atuais com essas explorações do SharePoint ainda estão sendo avaliados. Aqui está um resumo das atividades desses grupos:

• grupo patrocinado pelo estado chinês
• Anteriormente conhecido como Háfnio
• A Target concentra-se no Governo, na defesa, nas ONGs e na educação
• Conhecido por ataques à infraestrutura crítica e instituições acadêmicas dos EUA
• Atividade notável inclui vulnerabilidades exploradas do Microsoft Exchange ( ProxyLogon )

• Ator de ameaça chinês
• Anteriormente conhecido como APT41 (também conhecido como Bário ou Winnti, dependendo da atividade)
• Conhecido por uma mistura de espionagem apoiada pelo Estado e ataques com motivação financeira
• A Target se concentra nos setores de saúde, telecomunicações, software e jogos
• Atividade notável : inclui comprometimentos da cadeia de suprimentos e atualizações de software por backdoor

• Acredita-se que esteja ligado à China
• “Storm” é um nome temporário que a Microsoft usa para grupos emergentes ou não atribuídos
• Conhecido por explorar vulnerabilidades de dia zero em produtos da Microsoft
• O foco do alvo inclui sistemas governamentais e corporativos
• O status está sob investigação, mas os primeiros indicadores apontam para origem chinesa

De acordo com a investigação da Microsoft, os invasores estão implantando shells da web, como arquivos spinstall0.aspx modificados, para roubar chaves de máquina críticas do IIS, que podem ignorar a autenticação, e as primeiras tentativas de exploração datam de 7 de julho de 2025. Conforme observado anteriormente pela Shadowserver Foundation, esses backdoors persistentes permitem que os hackers mantenham o acesso mesmo após os sistemas serem atualizados.