Microsoft onthult Chinese staatshackers die SharePoint-lekken misbruiken

De kritieke nieuwe update van Microsoft onthult dat specifieke Chinese nationale bedreigingsgroepen actief misbruik maken van kwetsbaarheden in de on-premises SharePoint-servers. Na een eerder rapport van Hackread.com, waarin de inbraak bij meer dan 100 organisaties wereldwijd werd gemeld, heeft Microsoft nu de belangrijkste spelers achter de inbraken geïdentificeerd en uitgebreide beveiligingsupdates uitgebracht voor alle getroffen SharePoint-versies.

De aanhoudende cyberaanvallen maken gebruik van twee verschillende zero-day-lekken: CVE-2025-49706 , een spoofing-kwetsbaarheid waarmee aanvallers systemen kunnen misleiden, en CVE-2025-49704 , een kwetsbaarheid voor remote code execution (RCE) waarmee ze schadelijke code op afstand kunnen uitvoeren. Deze lekken houden verband met de eerder genoemde CVE-2025-53770 en CVE-2025-53771 .

De Threat Intelligence-eenheid van Microsoft bevestigt dat Chinese staatsactoren Linen Typhoon, Violet Typhoon en een andere Chinese groep, gevolgd als Storm-2603, misbruik maken van deze kwetsbaarheden. De waargenomen aanvallen beginnen met het uitvoeren van verkenningen door kwaadwillenden en het versturen van gemanipuleerde POST-verzoeken naar het ToolPane-eindpunt op SharePoint-servers.

Deze groepen staan bekend om spionage, diefstal van intellectueel eigendom en het voortdurend aanvallen van blootgestelde webinfrastructuur. De aanvallen zijn wijdverbreid; CrowdStrike heeft sinds 18 juli 2025 honderden pogingen waargenomen in meer dan 160 klantomgevingen.

Linen Typhoon, actief sinds 2012, richt zich op het stelen van intellectueel eigendom van overheden, defensie en mensenrechtenorganisaties. Violet Typhoon, dat al sinds 2015 wordt gevolgd, specialiseert zich in spionage tegen voormalig militair personeel, ngo's en financiële instellingen, vaak door kwetsbaarheden te scannen en te exploiteren.

Hoewel Storm-2603 eerder ransomware zoals Warlock en Lockbit heeft ingezet, worden hun huidige doelstellingen met deze SharePoint-exploits nog steeds onderzocht. Hieronder volgt een overzicht van de activiteiten van deze groepen:

• door de Chinese staat gesponsorde groep
• Voorheen bekend als hafnium
• Doelgroep richt zich op de overheid, defensie, NGO's en onderwijs
• Bekend om aanvallen op Amerikaanse kritieke infrastructuur en academische instellingen
• Opvallende activiteit omvat geëxploiteerde Microsoft Exchange-kwetsbaarheden ( ProxyLogon )

• Chinese dreigingsactor
• Voorheen bekend als APT41 (ook bekend als Barium of Winnti, afhankelijk van de activiteit)
• Bekend om een mix van door de staat gesteunde spionage en financieel gemotiveerde aanvallen
• Target richt zich op de gezondheidszorg-, telecom-, software- en gamingindustrie
• Opvallende activiteit : omvat inbreuken op de toeleveringsketen en software-updates met achterdeurtjes

• Wordt verondersteld verband te houden met China
• 'Storm' is een tijdelijke naam die Microsoft gebruikt voor opkomende of niet-toegewezen groepen
• Bekend om het uitbuiten van zero-day-kwetsbaarheden in Microsoft-producten
• De doelgroep omvat overheids- en bedrijfssystemen
• De status wordt onderzocht, maar vroege indicatoren wijzen op Chinese afkomst

Uit onderzoek van Microsoft blijkt dat aanvallers webshells, zoals aangepaste spinstall0.aspx-bestanden, gebruiken om cruciale IIS-machinesleutels te stelen. Daarmee kunnen ze authenticatie omzeilen. De eerste pogingen tot misbruik dateren van 7 juli 2025. Zoals eerder opgemerkt door de Shadowserver Foundation, zorgen deze persistente backdoors ervoor dat hackers toegang kunnen behouden, zelfs nadat systemen zijn bijgewerkt.