Microsoft rivela che gli hacker statali cinesi stanno sfruttando le falle di SharePoint

Il nuovo aggiornamento critico di Microsoft rivela che specifici gruppi di minacce provenienti da stati nazionali cinesi stanno sfruttando attivamente le vulnerabilità nei server SharePoint locali. A seguito di un precedente rapporto di Hackread.com, che evidenziava la compromissione di oltre 100 organizzazioni a livello globale, Microsoft ha ora identificato i principali responsabili delle intrusioni e rilasciato aggiornamenti di sicurezza completi per tutte le versioni di SharePoint interessate.

Gli attacchi informatici in corso sfruttano due distinte falle zero-day: CVE-2025-49706 , una vulnerabilità di spoofing che consente agli aggressori di ingannare i sistemi, e CVE-2025-49704 , una vulnerabilità di esecuzione di codice remoto (RCE) che consente loro di eseguire codice dannoso da remoto. Queste falle sono correlate alle vulnerabilità CVE-2025-53770 e CVE-2025-53771 , precedentemente evidenziate.

L'unità Threat Intelligence di Microsoft conferma che gli attori cinesi Linen Typhoon, Violet Typhoon e un altro gruppo con sede in Cina, identificato come Storm-2603, stanno sfruttando queste vulnerabilità. Gli attacchi osservati iniziano con l'esecuzione di ricognizioni da parte degli attori della minaccia e l'invio di richieste POST contraffatte all'endpoint ToolPane sui server di SharePoint.

Questi gruppi sono noti per lo spionaggio, il furto di proprietà intellettuale e per i continui attacchi alle infrastrutture web esposte. Gli attacchi sono diffusi: CrowdStrike ne ha osservati centinaia in oltre 160 ambienti di clienti dal 18 luglio 2025.

Linen Typhoon, attivo dal 2012, si concentra sul furto di proprietà intellettuale da parte di governi, difesa e settori dei diritti umani. Violet Typhoon, monitorato dal 2015, è specializzato nello spionaggio ai danni di ex militari, ONG e istituzioni finanziarie, spesso analizzando e sfruttando vulnerabilità.

Sebbene Storm-2603 abbia già distribuito ransomware come Warlock e Lockbit, gli obiettivi attuali di questi exploit di SharePoint sono ancora in fase di valutazione. Ecco un riepilogo delle attività di questi gruppi:

• Gruppo sponsorizzato dallo stato cinese
• Precedentemente noto come Afnio
• L'obiettivo si concentra sul governo, la difesa, le ONG e l'istruzione
• Noto per gli attacchi alle infrastrutture critiche e alle istituzioni accademiche degli Stati Uniti
• L'attività degna di nota include le vulnerabilità sfruttate di Microsoft Exchange ( ProxyLogon )

• attore cinese della minaccia
• Precedentemente noto come APT41 (noto anche come Bario o Winnti, a seconda dell'attività)
• Noto per un mix di spionaggio sostenuto dallo stato e attacchi motivati finanziariamente
• Target si concentra sui settori sanitario, delle telecomunicazioni, del software e dei giochi
• Attività degna di nota : include compromessi della catena di fornitura, aggiornamenti software con backdoor

• Si ritiene che sia legato alla Cina
• "Storm" è un nome temporaneo che Microsoft utilizza per i gruppi emergenti o non attribuiti
• Noto per aver sfruttato le vulnerabilità zero-day nei prodotti Microsoft
• L'obiettivo principale include i sistemi governativi e aziendali
• La situazione è sotto inchiesta, ma i primi indicatori puntano verso l'origine cinese

Secondo l'indagine di Microsoft, gli aggressori stanno implementando web shell, come file spinstall0.aspx modificati, per rubare chiavi macchina IIS critiche, in grado di bypassare l'autenticazione; i primi tentativi di sfruttamento risalgono al 7 luglio 2025. Come precedentemente osservato dalla Shadowserver Foundation, queste backdoor persistenti consentono agli hacker di mantenere l'accesso anche dopo l'aggiornamento dei sistemi.