Google’s Mandiant heeft een hackgroep in China-Nexus gekoppeld aan de eerste golf van wereldwijde aanvallen die een kritische Microsoft SharePoint-kwetsbaarheid benutten. De exploitketen, genaamd”Toolshell”(CVE-2025-53770), stelt aanvallers in staat om authenticatie te omzeilen en code uit te voeren op kwetsbare on-premise servers.
De toeschrijving op 22 juli volgt een turbulente periode voor IT-beheerders. Microsoft bracht noodbeveiligingspatches slechts één dag eerder uit en klauterde om de fallout te bevatten. Met een proof-of-concept-exploit nu openbaar, is het risico voor niet-geslagen organisaties dramatisch geëscaleerd.
China-Nexus-acteur gekoppeld aan initiële ‘toolshell’ aanvallen
De aanvallen, die de wereldwijd in een gedachte hebben genomen, hebben nu een door de staat gespreide oorsprong. In a statement, Charles Carmakal, CTO of Google Cloud’s Mandiant Consulting, identified the initial actor, stating, “we assess that at least one of the Actoren die verantwoordelijk zijn voor deze vroege uitbuiting is een China-Nexus-dreigingsacteur. Het is van cruciaal belang om te begrijpen dat meerdere actoren nu actief deze kwetsbaarheid exploiteren. naar een wijdverbreide technische kwetsbaarheid. De analyse van Mandiant suggereert dat een geavanceerde groep verantwoordelijk was voor de eerste intrusies, gericht op hoogwaardige netwerken voordat de fout publiekelijk bekend was.
De situatie is echter niet langer opgenomen in een enkele geavanceerde acteur. Carmakal waarschuwde dat de exploit nu door anderen wordt aangenomen en voegt eraan toe:”We verwachten volledig dat deze trend, aangezien verschillende andere dreigingsacteurs, gedreven door diverse motivaties, deze exploit ook zullen benutten.”Dit onderstreept de dringende behoefte aan organisaties om de nieuwste patches van Microsoft toe te passen voordat meer opportunistische aanvallers toeslaan.
van patch bypass tot nul-day: anatomie van de exploit
De kwetsbaarheid is een klassiek voorbeeld van een”patch bypass.”Het is een directe variant van een fout ( cve-2025-49706 ) aangetoond op pwn2own in may en beveiligend gebouwd door microsoft in zijn juli-beveiligingsupdate.
aanvallers hebben waarschijnlijk”patch different”uitgevoerd om de nieuwe exploit te ontwikkelen. Deze techniek omvat forensisch het vergelijken van pre-patch en post-patch code om de exacte wijziging van ontwikkelaars te bepalen. Door de oplossing te begrijpen, kunnen ze jagen op alternatieve codepaden die hetzelfde resultaat bereiken.
terwijl Initiële rapporten voorgesteld Aanvallen zijn gestart rond 18 juli, nieuwer analyse-indicatie exploitatie kan al op 7 juli zijn begonnen op 7 juli . Deze eerdere tijdlijn suggereert dat aanvallers geavanceerde kennis hadden van de kwetsbaarheidsdetails, mogelijk voordat de oorspronkelijke fout werd gepatcht.
De aanval zelf is heimelijk en zeer effectief. Volgens onderzoek van oogbeveiliging, die eerst de campagne gedetecteerd , planten aanvallers een bestand met de naam SpinStall0.aspx op gecompromitteerde servers. Dit is geen typische achterdeur die is ontworpen voor brede controle.
Zoals het onderzoeksteam van Eye Security opmerkte:”Dit was niet je typische webshell. Er waren geen interactieve opdrachten, omgekeerde shells of command-and-control logica.”Het enige, doelgerichte doel is om de cryptografische machinetoetsen van de server te exfiltreren. Deze sleutels zijn de masterreferenties voor het staatsmanagement van de SharePoint-boerderij, die worden gebruikt om sessiegegevens te valideren en te decoderen.
Het stelen van deze toetsen biedt een veel meer persistente en gevaarlijke vorm van toegang dan een eenvoudige webshell. Zoals oogbeveiliging waarschuwt:”Deze sleutels stellen aanvallers in staat om gebruikers of services na te doen, zelfs nadat de server is gepatcht. Dus alleen patchen lost het probleem niet op.”Dit maakt de sanering veel complexer dan alleen het verwijderen van een kwaadaardig bestand; Het vereist een volledige sleutelrotatie en patching.
Microsoft snelt patches als CISA-richtlijn
Microsoft reageerde aanvankelijk op 20 juli met mitigatie-richtlijnen, omdat een patch nog niet beschikbaar was. Het bedrijf adviseerde Admins om de Antimalware Scan Interface (AMSI) en .
Dit advies werd slechts 24 uur later vervangen. Op 21 juli publiceerde Microsoft Emergency, out-of-band beveiligingsupdates voor SharePoint Abonnement Edition, SharePoint 2019 en SharePoint 2016. Het bedrijf benadrukte dat SharePoint Online-klanten niet worden getroffen.
De ernst van de dreiging leidde tot een snelle overheidsreactie. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2025-53770 toegevoegd aan zijn Bekende verstandige vulling vulperatie (kev) cataloga (kev) cataloge , a list van faws. Vereiste onmiddellijke federale actie.
CISA heeft een richtlijn uitgegeven waarin alle federale civiele agentschappen worden gelast om de patches van Microsoft toe te passen. In zijn alert legde het bureau het gevaar uit:”Deze exploitatieactiviteit, publiekelijk gerapporteerd als‘ Toolshell ’, biedt niet-geauthenticeerde toegang tot systemen en stelt kwaadaardige actoren in staat om volledig toegang te krijgen tot SharePoint-inhoud… en code uit te voeren via het netwerk.”Dit benadrukt het potentieel voor compleet systeemcompromis en gegevensuitvoeringen.
openbare exploit-release escaleert dreiging voor niet-gesprongen servers
Het dreigingslandschap verslechterde aanzienlijk met de publicatie van een Proof-of-Concept (POC) exploiteren op github Op 21 juli. Deze code maakt de geavanceerde”Toolshell”-aanval toegankelijk voor een veel bredere reeks kwaadaardige actoren, van scriptribineen tot ransomware bendes. Beveiligingsbedrijven zoals Rapid7 en Bitdefender hebben hun eigen technische adviezen uitgegeven en hebben aansporen klanten onmiddellijk aan te pakken.
Dit incident is een herinnering aan de aanhoudende bedreigingen waarmee de on-premise infrastructuur wordt geconfronteerd, die vaak achterblijft bij cloudservices in beveiligingshouding. Het weerspiegelt eerdere SharePoint-beveiligingscrises, waaronder andere kritische exploits eind 2024.
Het herinnert ook aan andere problemen met het platformintegriteit, zoals het kaping van een legacy Microsoft Stream-domein eerder in 2025 die spam in SharePoint-sites injecteerde. Voor organisaties die hun eigen servers beheren, blijven constante waakzaamheid en snelle patching kritieke verdedigingen.
