El número de organizaciones incumplidas en una campaña de piratería global que explota una vulnerabilidad crítica de Microsoft SharePoint ha aumentado a al menos 400, Según la firma de ciberseguridad, Eye Security . Esto representa una escalada dramática de solo 60 víctimas reportadas a principios de semana, lo que indica una situación de rápida expansión y peligrosa para las empresas de todo el mundo.
Microsoft ha acusado a grupos de ataques de orquestación patrocinados por el estado chino, que se dirigen a una falla de día cero (CVE-2025-53770) en los servidores de SharePoPoint en ofertas. Los atacantes están robando claves criptográficas para obtener un acceso profundo y persistente a las redes, creando un riesgo de seguridad severo y duradero.
Entre los objetivos de alto perfil se encuentra la Administración Nacional de Seguridad Nuclear de los Estados Unidos (NNSA), la agencia responsable de la reserva nuclear de la nación, que confirmó que fue objetivo. While Microsoft has quickly issued patches, the rapid escalation of these attacks has put thousands of servers at risk.
Victim Count Skyrockets as Microsoft Blames Chinese State Actores
Microsoft ha atribuido los ataques generalizados a al menos tres grupos de piratería distintos y patrocinados por el estado de China: tifón de lino, tifón Violet y Storm-2603. The company noted that these are established threat actors, with Linen Typhoon active since 2012 focusing on intellectual property theft, and Violet Typhoon, first observed in 2015, being “dedicado al espionaje”. Esta atribución fue corroborada independientemente por el equipo de inteligencia de amenazas de Google, que también señaló a los actores de China-Nexus.
Los expertos observan que estos grupos son conocidos por sus operaciones sofisticadas. Eugenio Benincasa, un investigador del Centro de Estudios de Seguridad de ETH Zurich, dijo que los miembros de los grupos identificados por Microsoft habían sido acusados previamente en los EE. UU. Por su supuesta participación en las campañas de piratería dirigidas a organizaciones estadounidenses. Agregó que es probable que los ataques sean llevados a cabo por grupos de poder de”hackers para contratar”privados que trabajan con el gobierno.
El gobierno chino, sin embargo, ha negado firmemente estas acusaciones. En un comunicado, el portavoz del Ministerio de Relaciones Exteriores de China, Guo Jiakun, dijo:”China se opone y lucha contra las actividades de piratería de acuerdo con la ley. Al mismo tiempo, nos oponemos a las manchas y los ataques contra China bajo la excusa de los problemas de ciberseguridad”. Esto crea una tensión geopolítica significativa, haciéndose eco de incidentes anteriores como los principales hacks de 2021 y 2023 de Microsoft Exchange, que también se atribuyeron a China.
La ola inicial de la campaña parecía centrada en las entidades relacionadas con el gobierno, un sello distintivo de los grupos avanzados de amenaza persistente (APT). Silas Cutler, investigador principal de Censys, observó que”la explotación inicial de esta vulnerabilidad probablemente fue bastante limitada en términos de orientación, pero a medida que más atacantes aprenden a replicar la explotación, probablemente veremos violaciones como resultado de este incidente”.
Esta rápida evolución es una preocupación clave para los profesionales de la seguridad. Si bien los principales ataques aumentaron alrededor del 18 de julio, la evidencia sugiere que los piratas informáticos pueden haber comenzado a explotar la vulnerabilidad ya en el 7 de julio. Como advirtió Benincasa,”ahora que al menos tres grupos han explotado la misma vulnerabilidad de la misma vulnerabilidad. insidioso debido a su método. Los atacantes explotan CVE-2025-53770 a Robar las claves de la máquina criptográfica del servidor . Este defecto afecta a SharePoint Server 2016, 2019 y la edición de suscripción. Los clientes en línea de SharePoint no se ven afectados.
robar estas claves es mucho más peligroso que una violación típica. Permite a los atacantes hacerse pasar por usuarios y servicios, dándoles un acceso profundo y persistente que puede sobrevivir incluso después de que la vulnerabilidad original esté parcheada. Esto hace que la remediación sea mucho más compleja que simplemente aplicar una actualización y requiere invalidar las claves robadas.
El día cero es una variante de una falla previamente parcheada, CVE-2025-49706. Esto sugiere que los atacantes probablemente usaron”Patch Diffing”, analizando la actualización de seguridad, para descubrir rápidamente un nuevo vector alternativo para lograr el mismo resultado malicioso. Esta rápida arma de arma subraya la sofisticación de los grupos que se dirigen al software empresarial.
La agencia de la agencia nuclear aumenta las alarmas de seguridad nacional
La confirmación de que la NNSA estaba entre las entidades violadas ha elevó el incidente a un asunto de seguridad nacional . Si bien la agencia confirmó que estaba dirigida, los expertos sugieren que los datos más críticos probablemente sean seguros debido a que se almacenan en redes aisladas o”recaudadas”. Esto podría incluir información relacionada con materiales nucleares o armas que, aunque no son de alto secreto, siguen siendo altamente sensibles.
Esta violación sigue un patrón preocupante de ataques contra la infraestructura crítica de los EE. UU., Incluyendo exploits de SharePoint anteriores y los hacks del servidor de Exchange 2021 y 2023. El incidente probablemente será un tema de discusión en las próximas conversaciones comerciales, según lo insinuado por el Secretario del Tesoro de los Estados Unidos, Scott Bessent, quien dijo:”Obviamente, cosas como esa estarán en la agenda con mis homólogos chinos”. Versiones de SharePoint el 21 de julio. La compañía ha instado a los administradores a aplicar las actualizaciones de inmediato para evitar el compromiso inicial.
Sin embargo, el parche solo no es suficiente. Microsoft ha enfatizado que las organizaciones deben rotar sus keyas de las máquinas asp.et Para invalidar cualquier credencial de credenciales ya. Este es un paso crítico para bloquear a los intrusos que han establecido persistencia en una red.
La CISA de los EE. UU. Agregó la vulnerabilidad a su vulnerabilidades explotadas (Kev) Catalog
