Mandiant de Google ha vinculado un grupo de piratería China-Nexus con la ola inicial de ataques globales que explotan una vulnerabilidad crítica de Microsoft SharePoint. La cadena de exploit, denominada”Cellina de herramientas”(CVE-2025-53770), permite a los atacantes omitir la autenticación y ejecutar código en servidores vulnerables locales.
La atribución el 22 de julio sigue un período turbulento para los administradores de TI. Microsoft lanzó parches de seguridad de emergencia un día antes, luchando para contener las consecuencias. Con una explotación de prueba de concepto ahora pública, el riesgo de organizaciones no parpadas se ha intensificado dramáticamente.
El actor de China-Nexus vinculado a los ataques iniciales de la”cosecha de herramientas”
los ataques, que han comprometido a docenas de organizaciones mundiales, ahora se cree que han tenido orígenes estatales. En un comunicado, Charles Carmakal, CTO de la consultoría Mandiant de Google Cloud,
Sin embargo, la situación ya no está contenida para un solo actor avanzado. Carmakal advirtió que la exploit ahora está siendo adoptada por otros, y agregó:”Anticipamos completamente que esta tendencia continuará, ya que varios otros actores de amenazas, impulsados por diversas motivaciones, también aprovecharán esta exploit”. Esto subraya la necesidad urgente de que las organizaciones apliquen los últimos parches de Microsoft antes de que los atacantes más oportunistas hagan. La vulnerabilidad es un ejemplo clásico de un”parche bypass”. Es una variante directa de una falla ( cVe-2025-49706 ) demostrado en PWN2Own en mayo y posteriormente mediante microsoft en su microsoft en su microsoft en su microsoft en su microsoft en su microsoft en su actualización de julio. Los atacantes probablemente realizaron”Patch Differing”para diseñar el nuevo exploit. Esta técnica implica comparar forense el código previo al parche y posterior al parche para identificar el cambio exacto realizado por los desarrolladores. Al comprender la solución, pueden buscar rutas de código alternativas que logren el mismo resultado. mientras Informes iniciales sugeridos ataques comenzaron alrededor de julio 18, newer Analysis ANÁLISIS ANÁLISIS DE NEWER 18, Newer Análisis de los newer. href=”https://thehackernews.com/2025/07/hackers-exploit-s-sharepoint-zero-day.html”target=”_ en blanco”> La explotación puede haber comenzado tan pronto como el 7 de julio de bypass de parche a día cero: anatomía de la exploit
El ataque en sí es sigiloso y altamente efectivo. Según la investigación de Eye Security, que Primero detectó la campaña , los atacantes plantan un archivo llamado SpinStall0.aspx en servidores comprometidos. Este no es una puerta trasera típica diseñada para un control amplio.
Como señaló el equipo de investigación de Eye Security:”Esta no era la típica webshell. No había comandos interactivos, conchas inversas o lógica de comando y control”. Su único propósito dirigido es exfiltrar las claves de la máquina criptográfica del servidor. Estas claves son las credenciales maestras para la gestión del estado de la granja de SharePoint, que se usa para validar y descifrar datos de sesión.
Robar estas claves proporciona una forma de acceso mucho más persistente y peligrosa que una simple webwell. Como advierte la seguridad ocular,”estas claves permiten a los atacantes hacer pasar por usuarios o servicios, incluso después de que el servidor esté parcheado. Por lo tanto, parches por sí solos no resuelve el problema”. Esto hace que la remediación sea mucho más compleja que simplemente eliminar un archivo malicioso; Requiere una rotación y parches de clave completa.
Microsoft se apresura a los parches ya que CISA emite una Directiva
Microsoft respondió inicialmente el 20 de julio con orientación de mitigación, ya que un parche aún no estaba disponible. La compañía aconsejó a los administradores que habiliten la interfaz de escaneo de antimalware (AMSI) y .
Este consejo fue reemplazado solo 24 horas después. El 21 de julio, Microsoft lanzó actualizaciones de seguridad fuera de banda de emergencia para la edición de suscripción de SharePoint, SharePoint 2019 y SharePoint 2016. La compañía enfatizó que los clientes de SharePoint en línea no se ven afectados.
La gravedad de la amenaza provocó una respuesta del gobierno rápido. La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó CVE-2025-53770 a su vulnerabilidades explotadas (kev) CATALOG , una lista de flawer Acción federal inmediata.
CISA emitió una directiva que ordenaba a todas las agencias civiles federales que apliquen los parches de Microsoft. En su alerta, la agencia explicó el peligro:”Esta actividad de explotación, informada públicamente como”Shell de herramientas”, proporciona acceso no autenticado a los sistemas y permite a los actores maliciosos acceder completamente al contenido de SharePoint… y ejecutar código a través de la red”. Esto resalta el potencial para el compromiso completo del sistema y la exfiltración de datos.
El lanzamiento de explotación pública aumenta la amenaza para los servidores sin parpaderos
El panorama de amenazas empeoró significativamente con la publicación de a Exploit de prueba de concepto (POC) en GitHub El 21 de julio. Este código hace que el sofisticado ataque de”Shellshell”sea accesible para una gama mucho más amplia de actores maliciosos, desde los niños de script hasta las pandillas de ransomware. Las empresas de seguridad como Rapid7 y Bitdefender han emitido sus propias avisos técnicos, instando a los clientes a parchear de inmediato.
Este incidente es un recordatorio de las amenazas persistentes que enfrentan la infraestructura en las instalaciones, que a menudo se queda atrás de los servicios en la nube en la postura de seguridad. Se hace eco de las crisis de seguridad de SharePoint anteriores, incluidas otras exploits críticas a fines de 2024.
También recuerda otros problemas de integridad de la plataforma, como el secuestro de un dominio heredado de Microsoft Stream a principios de 2025 que inyectó SPAM en sitios de SharePoint. Para las organizaciones que administran sus propios servidores, la vigilancia constante y el parcheo rápido siguen siendo defensas críticas.