The number of organizations breached in a global hacking campaign exploiting a critical Microsoft SharePoint vulnerability has surged to at least 400, according to Segurança ocular da empresa de segurança cibernética . Isso representa uma escalada dramática de apenas 60 vítimas relatadas no início da semana, sinalizando uma situação em rápida e expansão e perigosa para as empresas em todo o mundo. Os invasores estão roubando chaves criptográficas para obter acesso profundo e persistente às redes, criando um risco de segurança grave e duradouro. Enquanto a Microsoft emitiu rapidamente patches, a rápida escala desses ataques colocou milhares de servidores em risco. Os atores
A Microsoft atribuiu os ataques generalizados a pelo menos três grupos de hackers distintos e patrocinados pelo Estado da China: tufão de linho, tufão Violet e Storm-2603. A empresa observou que esses são atores de ameaças estabelecidos, com o tufão de linho ativo desde 2012 focado no roubo de propriedade intelectual e no Typhoon Violet, observado pela primeira vez em 2015, sendo “dedicado à espionagem”. Eugenio Benincasa, pesquisador do Centro de Estudos de Segurança da ETH Zurique, disse que os membros dos grupos identificados pela Microsoft haviam sido anteriormente indiciados nos EUA por seu suposto envolvimento em campanhas de hackers direcionadas às organizações americanas. Ele acrescentou que é provável que os ataques sejam realizados por grupos privados de”hacker para contratar”que trabalham com o governo.
O governo chinês, no entanto, negou firmemente essas alegações. Em um comunicado, o porta-voz do Ministério das Relações Exteriores da China, Guo Jiakun, disse:”A China se opõe e luta contra atividades de hackers de acordo com a lei. Ao mesmo tempo, nos opomos a manchas e ataques contra a China sob a desculpa de questões de segurança cibernética”. Isso cria uma tensão geopolítica significativa, ecoando incidentes anteriores como os principais hacks 2021 e 2023 da Microsoft Exchange, que também foram responsabilizados pela China. Silas Cutler, pesquisador principal da Censys, observou que “a exploração inicial dessa vulnerabilidade provavelmente era bastante limitada em termos de segmentação, mas à medida que mais invasores aprendem a replicar a exploração, provavelmente veremos violações como resultado desse incidente.”
Essa rápida evolução é uma preocupação importante para os profissionais de segurança. Enquanto os principais ataques aumentavam por volta de 18 de julho, as evidências sugerem que os hackers podem ter começado a explorar a vulnerabilidade no dia 7 de julho. Como Benincasa alertou: “Agora que pelo menos três grupos exploraram a mesma vulnerabilidade, é plausível que mais se segue. Devido ao seu método. Os atacantes exploram CVE-2025-53770 a roubar as teclas de máquina criptográfica do servidor . Essa falha afeta o SharePoint Server 2016, 2019 e a edição de assinatura. Os clientes on-line do SharePoint permanecem inalterados.
Roubar essas chaves é muito mais perigoso do que uma violação típica. Ele permite que os invasores se vefem usuários e serviços, dando-lhes acesso profundo e persistente que podem sobreviver mesmo após a corrigida a vulnerabilidade original. Isso torna a correção muito mais complexa do que simplesmente aplicar uma atualização e requer invalidar as teclas roubadas. Isso sugere que os invasores provavelmente usaram “Diffing de patches”-analisando a atualização de segurança-para descobrir rapidamente um novo vetor alternativo para alcançar o mesmo resultado malicioso. Essa arma rápida ressalta a sofisticação dos grupos direcionados ao software corporativo. href=”https://www.reuters.com/world/us/us-nuclear-weapons-agency-breached-microsoft-sharepoint-hack-bloomberg-news-2025-07-23/”Target=”_ Blank”> Elevou o incidente a uma questão nacional . Embora a agência tenha confirmado que foi direcionado, os especialistas sugerem que os dados mais críticos provavelmente estão seguros devido a serem armazenados em isolados ou”com brotar a ar”, redes. Isso pode incluir informações relacionadas a materiais nucleares ou armas que, embora não sejam secretos, ainda são altamente sensíveis. O incidente provavelmente será um tópico de discussão nas próximas negociações comerciais, como sugerido pelo secretário do Tesouro dos EUA, Scott Bessent, que disse: “Obviamente, coisas assim estarão na agenda com meus colegas chineses. Versões do SharePoint em 21 de julho. A empresa pediu aos administradores que apliquem as atualizações imediatamente para evitar compromissos iniciais.
No entanto, o patch apenas não é suficiente. A Microsoft enfatizou que as organizações devem conhecido Exploited vulabor As agências para aplicar mitigações até 21 de julho. Como os pesquisadores alertam que mais grupos podem se juntar à briga, a corrida para proteger os sistemas continua, com um especialista observando: “Agora que pelo menos três grupos exploraram a mesma vulnerabilidade, é mais plausível que mais poderia seguir.”
