Google Mandiant telah menautkan grup peretasan China-Nexus dengan gelombang awal serangan global yang mengeksploitasi kerentanan Microsoft SharePoint yang kritis. Rantai eksploitasi, dijuluki”Toolshell”(CVE-2025-53770), memungkinkan penyerang untuk memotong otentikasi dan menjalankan kode pada server di tempat yang rentan.
Atribusi pada 22 Juli mengikuti periode turbulen untuk administrator TI. Microsoft merilis tambalan keamanan darurat hanya satu hari sebelumnya, berebut untuk menahan dampak. Dengan eksploitasi pembuktian konsep yang sekarang dipublikasikan, risiko untuk organisasi yang tidak ditandingi telah meningkat secara dramatis.
aktor China-Nexus yang terkait dengan serangan’toolshell’awal
Serangan, yang telah mengkompromikan puluhan organisasi di seluruh dunia, sekarang diyakini oleh negara. Dalam sebuah pernyataan, Charles Carmakal, CTO dari Google Cloud’s Mandiant Consulting,
While initial reports suggested attacks began around July 18, newer analysis indicates Eksploitasi mungkin telah dimulai pada awal 7 Juli . Garis waktu sebelumnya ini menunjukkan bahwa penyerang memiliki pengetahuan yang lebih lanjut tentang detail kerentanan, mungkin sebelum cacat asli ditambal.
Serangan itu sendiri tersembunyi dan sangat efektif. Menurut penelitian dari keamanan mata, yang pertama kali mendeteksi kampanye , penyerang menanam file bernama spinstall0.aspx pada server yang dikompromikan. Ini bukan pintu belakang khas yang dirancang untuk kontrol luas.
Seperti yang dicatat oleh tim peneliti Eye Security,”Ini bukan webshell khas Anda. Tidak ada perintah interaktif, cangkang terbalik, atau logika perintah-dan-kontrol.”Tujuan satu-satunya dan ditargetkan adalah untuk mengeluarkan kunci mesin mesin kriptografi server. Kunci-kunci ini adalah kredensial utama untuk manajemen negara bagian SharePoint Farm, yang digunakan untuk memvalidasi dan mendekripsi data sesi.
Mencuri kunci-kunci ini memberikan bentuk akses yang jauh lebih gigih dan berbahaya daripada webshell sederhana. Saat Eye Security memperingatkan,”Kunci-kunci ini memungkinkan penyerang untuk menyamar sebagai pengguna atau layanan, bahkan setelah server ditambal. Jadi tambalan saja tidak menyelesaikan masalah.”Ini membuat remediasi jauh lebih kompleks daripada sekadar menghapus file jahat; Ini membutuhkan rotasi dan penambalan kunci penuh.
Microsoft bergegas tambalan karena CISA mengeluarkan arahan
Microsoft awalnya merespons pada 20 Juli dengan panduan mitigasi, karena tambalan belum tersedia. Perusahaan menyarankan admin untuk mengaktifkan antarmuka pemindaian antimalware (AMSI) dan .
Saran ini digantikan hanya 24 jam kemudian. Pada 21 Juli, Microsoft merilis pembaruan darurat, out-of-band untuk edisi berlangganan SharePoint, SharePoint 2019, dan SharePoint 2016. Perusahaan menekankan bahwa pelanggan online SharePoint tidak terpengaruh.
Tingkat keparahan ancaman tersebut mendorong tanggapan pemerintah yang cepat. Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) menambahkan CVE-2025-53770 ke dalam diketahui dieksploit membutuhkan tindakan federal langsung.
CISA mengeluarkan arahan yang memesan semua lembaga sipil federal untuk menerapkan tambalan Microsoft. Dalam peringatannya, agensi menjelaskan bahaya:”Kegiatan eksploitasi ini, dilaporkan secara publik sebagai’Toolshell,’menyediakan akses yang tidak otentikasi ke sistem dan memungkinkan aktor jahat untuk sepenuhnya mengakses konten SharePoint… dan menjalankan kode melalui jaringan.”Ini menyoroti potensi kompromi sistem lengkap dan exfiltration data.
eksploitasi publik meningkatkan ancaman untuk server yang tidak ditandingi
Lansekap ancaman memburuk secara signifikan dengan publikasi eksploitasi proof-of-concept (POC) pada github Pada 21 Juli. Kode ini membuat serangan”toolshell”yang canggih dapat diakses hingga berbagai aktor jahat yang lebih luas, dari anak-anak skrip hingga geng ransomware. Perusahaan keamanan seperti Rapid7 dan Bitdefender telah mengeluarkan nasihat teknis mereka sendiri, mendesak pelanggan untuk segera ditambal.
Kejadian ini merupakan pengingat akan ancaman terus-menerus yang dihadapi infrastruktur di tempat, yang seringkali tertinggal di balik layanan cloud dalam postur keamanan. Ini menggemakan krisis keamanan SharePoint sebelumnya, termasuk eksploitasi kritis lainnya pada akhir 2024.
Ini juga mengingat masalah integritas platform lainnya, seperti pembajakan domain warisan Microsoft Stream sebelumnya pada tahun 2025 yang menyuntikkan spam ke situs SharePoint. Untuk organisasi yang mengelola server mereka sendiri, kewaspadaan konstan dan penambalan cepat tetap pertahanan kritis.
