Het aantal organisaties dat is overtreden in een wereldwijde hackcampagne die een kritische Microsoft SharePoint-kwetsbaarheid benutten, is gestegen naar minstens 400, . Dit vertegenwoordigt een dramatische escalatie van slechts 60 slachtoffers die eerder in de week zijn gemeld, wat een snel groeiende en gevaarlijke situatie voor bedrijven over de hele wereld aangeeft. De aanvallers stelen cryptografische sleutels om diepe, aanhoudende toegang tot netwerken te winnen, waardoor een ernstig en blijvend veiligheidsrisico’s ontstaan.
Onder de spraakmakende doelen is de Amerikaanse National Nuclear Security Administration (NNSA), het agentschap dat verantwoordelijk is voor de nucleaire voorraad van het land, dat bevestigde dat het was gericht. While Microsoft has quickly issued patches, the rapid escalation of these attacks has put thousands of servers at risk.
Victim Count Skyrockets as Microsoft Blames Chinese State Acteurs
Microsoft heeft de wijdverbreide aanvallen toegeschreven aan ten minste drie verschillende, door de staat gesponsorde hackgroepen uit China: linnen typhoon, violette tyfoon en storm-2603. The company noted that these are established threat actors, with Linen Typhoon active since 2012 focusing on intellectual property theft, and Violet Typhoon, first observed in 2015, being “gewijd aan spionage.” Deze toeschrijving werd onafhankelijk bevestigd door het Google’s Threat Intelligence-team, dat ook wees op China-Nexus-actoren.
Experts merken op dat deze groepen bekend zijn om hun geavanceerde operaties. Eugenio Benincasa, een onderzoeker bij Eth Zürich’s Center for Security Studies, zei dat leden van de door Microsoft geïdentificeerde groepen eerder in de VS waren aangeklaagd wegens hun vermeende betrokkenheid bij hackcampagnes op Amerikaanse organisaties. Hij voegde eraan toe dat het waarschijnlijk is dat de aanvallen worden uitgevoerd door particuliere”hacker voor het inhuren van”proxygroepen die met de regering werken.
De Chinese overheid heeft deze aantijgingen echter stevig ontkend. In een verklaring zei woordvoerder van het Chinese ministerie van Buitenlandse Zaken Guo Jiakun:”China verzet zich tegen en bestrijdt hackactiviteiten in overeenstemming met de wet. Tegelijkertijd verzetten we tegen uitstrijkjes en aanvallen op China onder het excuus van cybersecurity-kwesties.”Dit creëert een aanzienlijke geopolitieke spanning, in navolging van eerdere incidenten zoals de Major 2021 en 2023 hacks van Microsoft Exchange, die ook de schuld kregen aan China.
De initiële golf van de campagne leek nauw gericht op overheidsgerelateerde entiteiten, een kenmerk van Advanced Persistent Threat (APT) groepen. Silas Cutler, hoofdonderzoeker bij Censys, merkte op dat”initiële exploitatie van deze kwetsbaarheid waarschijnlijk redelijk beperkt was in termen van targeting, maar naarmate meer aanvallers leren exploitatie te repliceren, zullen we waarschijnlijk inbreuken zien als gevolg van dit incident.”Terwijl de belangrijkste aanvallen rond 18 juli opliepen, suggereert het bewijs dat hackers mogelijk al in 7 juli zijn begonnen met het benutten van de kwetsbaarheid. Zoals Benincasa waarschuwde:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het plausibel meer te volgen.”
anatomie van de aanval: Stolen Kladers Vanwege de methode. Aanvallers exploiteren CVE-2025-53770 naar de cryptografische machinetoetsen van de server stelen . Deze fout heeft invloed op SharePoint Server 2016, 2019 en de Abonnement-editie. SharePoint online klanten blijven onaangetast.
Het stelen van deze toetsen is veel gevaarlijker dan een typische inbreuk. Het stelt aanvallers in staat om gebruikers en diensten na te doen, waardoor ze diepe en aanhoudende toegang krijgen die kan overleven, zelfs nadat de oorspronkelijke kwetsbaarheid is gepatcht. Dit maakt de sanering veel complexer dan alleen het toepassen van een update en vereist het ongeldig maken van de gestolen toetsen.
De zero-day is naar verluidt een variant van een eerder gepatchte fout, CVE-2025-49706. Dit suggereert dat aanvallers waarschijnlijk”patch different”hebben gebruikt-de beveiligingsupdate analyseren-om snel een nieuwe, alternatieve vector te ontdekken om dezelfde kwaadaardige uitkomst te bereiken. Deze snelle bewapening onderstreept de verfijning van de groepen die zich richten op enterprise software.
Nucleair Agency Breach roept nationale veiligheidsalarmen op
De bevestiging dat de NNSA was tot de overtreden entiteiten heeft verhoogde het incident tot een kwestie van nationale veiligheid . Hoewel het bureau bevestigde dat het het doelwit was, suggereren experts dat de meest kritieke gegevens waarschijnlijk veilig zijn omdat ze worden opgeslagen op geïsoleerde of”air-happing”, netwerken.
Echter, Edwin Lyman van de Union of Concerned Scientists waarschuwden:”Maar er zijn andere categorieën van informatie die gevoelig maar niet geclassificeerd zijn, die kunnen worden behandeld met minder zorg en kan worden blootgesteld.”Dit kan informatie bevatten met betrekking tot nucleair materiaal of wapens die, hoewel niet topgeheim, nog steeds zeer gevoelig is.
Deze inbreuk volgt een verontrustend patroon van aanvallen op kritieke Amerikaanse infrastructuur, inclusief eerdere SharePoint-exploits en de 2021 en 2023 Exchange Server Hacks. Het incident zal waarschijnlijk een onderwerp van discussie zijn bij aankomende handelsgesprekken, zoals door de Amerikaanse Treasury-secretaris Scott Bessent, die zei:”Het is duidelijk dat dergelijke dingen op de agenda zullen staan met mijn Chinese tegenhangers.”
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Een race voor patch en cisa Versies op 21 juli. Het bedrijf heeft er bij beheerders op aangedrongen de updates onmiddellijk toe te passen om het eerste compromis te voorkomen.
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
Het is echter niet voldoende. Microsoft has stressed that organizations must rotate their ASP.NET machine keys to invalidate any credentials already stolen by attackers. Dit is een cruciale stap om indringers op te sluiten die doorzettingsvermogen op een netwerk hebben vastgesteld.
De Amerikaanse CISA heeft de kwetsbaarheid toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for Federale agentschappen om mitigaties toe te passen tegen 21 juli. Aangezien onderzoekers waarschuwen dat meer groepen zich bij de strijd kunnen aansluiten, gaat de race om systemen veilig te stellen, met één expert opmerkt:”Nu ten minste drie groepen naar verluidt dezelfde kwetsbaarheid hebben geëxploiteerd, is het aannemelijk dat meer zou kunnen volgen.””
