Microsoft ha identificado hackers chinos que explotan vulnerabilidades en servidores SharePoint locales, provocando brechas de seguridad a nivel mundial en los últimos días.
En una publicación del blog del 19 de julio, el Centro de Respuesta de Seguridad de Microsoft detalló ataques activos contra servidores SharePoint que explotan dos vulnerabilidades críticas: CVE-2025-49706 (una vulnerabilidad de suplantación) y CVE-2025-49704 (una vulnerabilidad de ejecución remota de código). La compañía ha lanzado actualizaciones de seguridad completas para todas las versiones compatibles de SharePoint Server para abordar estas y otras vulnerabilidades relacionadas.
Microsoft ha observado a tres actores de amenazas basados en China explotando estas vulnerabilidades: Linen Typhoon, Violet Typhoon y Storm-2603. La empresa espera que más actores de amenazas integren estos exploits en sus ataques contra sistemas no parcheados.
Se ha observado que los atacantes realizan reconocimiento e intentan explotar las vulnerabilidades mediante solicitudes POST al punto final ToolPane. Tras una explotación exitosa, implementan web shells denominados «spinstall0.aspx» (o variaciones) para robar datos de claves de máquina, permitiendo acceso persistente.
Microsoft recomienda a los clientes aplicar inmediatamente las actualizaciones de seguridad, habilitar la Interfaz de Escaneo Antimalware (AMSI) en Modo Completo, rotar las claves de máquina ASP.NET del servidor SharePoint, reiniciar los Servicios de Información de Internet e implementar Microsoft Defender for Endpoint o soluciones equivalentes.
Los intentos de explotación comenzaron desde el 7 de julio, según el análisis de Microsoft. Linen Typhoon históricamente se ha centrado en robar propiedad intelectual de organizaciones gubernamentales y de defensa, mientras que Violet Typhoon se dirige a ex personal gubernamental, ONG e instituciones educativas. Storm-2603 ha implementado ransomware anteriormente, aunque Microsoft no puede evaluar actualmente sus objetivos en estos ataques.
