จำนวนองค์กรที่ละเมิดในแคมเปญการแฮ็คทั่วโลกใช้ประโยชน์จากช่องโหว่ที่สำคัญของ Microsoft SharePoint ได้เพิ่มขึ้นอย่างน้อย 400, “ อุทิศให้กับการจารกรรม” การระบุแหล่งที่มานี้ได้รับการยืนยันอย่างอิสระจากทีมข่าวกรองภัยคุกคามของ Google ซึ่งชี้ไปที่นักแสดงจีน-เน็กซัส
ผู้เชี่ยวชาญสังเกตว่ากลุ่มเหล่านี้เป็นที่รู้จักกันดีสำหรับการดำเนินงานที่ซับซ้อน Eugenio Benincasa นักวิจัยที่ศูนย์การศึกษาด้านความปลอดภัยของ ETH Zurich กล่าวว่าสมาชิกของกลุ่มที่ระบุโดย Microsoft เคยถูกฟ้องในสหรัฐอเมริกาก่อนหน้านี้เนื่องจากมีส่วนร่วมในการแฮ็คแคมเปญที่กำหนดเป้าหมายไปยังองค์กรอเมริกัน เขาเสริมว่าเป็นไปได้ว่าการโจมตีจะดำเนินการโดยกลุ่ม“ แฮ็กเกอร์สำหรับการจ้าง” ส่วนตัวที่ทำงานร่วมกับรัฐบาล
รัฐบาลจีนได้ปฏิเสธข้อกล่าวหาเหล่านี้อย่างแน่นหนา ในแถลงการณ์โฆษกกระทรวงการต่างประเทศจีน Guo Jiakun กล่าวว่า“ จีนต่อต้านและต่อสู้กับกิจกรรมการแฮ็คตามกฎหมายในเวลาเดียวกันเราคัดค้าน Smears และการโจมตีจีนภายใต้ข้อแก้ตัวของปัญหาความปลอดภัยทางไซเบอร์” สิ่งนี้สร้างความตึงเครียดทางการเมืองที่สำคัญสะท้อนเหตุการณ์ก่อนหน้านี้เช่นแฮ็ค Microsoft Exchange ที่สำคัญในปี 2021 และ 2023 ซึ่งถูกตำหนิในประเทศจีน
คลื่นเริ่มต้นของแคมเปญนั้นมุ่งเน้นไปที่หน่วยงานที่เกี่ยวข้องกับรัฐบาล Silas Cutler นักวิจัยหลักของ Censys ตั้งข้อสังเกตว่า“ การแสวงประโยชน์จากช่องโหว่ครั้งแรกนี้มีแนวโน้มที่ค่อนข้าง จำกัด ในแง่ของการกำหนดเป้าหมาย แต่เมื่อผู้โจมตีจำนวนมากเรียนรู้ที่จะทำซ้ำการแสวงหาผลประโยชน์เราจะเห็นการละเมิดเนื่องจากเหตุการณ์นี้”
การวิวัฒนาการอย่างรวดเร็ว ในขณะที่การโจมตีหลักเพิ่มขึ้นประมาณวันที่ 18 กรกฎาคมหลักฐานแสดงให้เห็นว่าแฮ็กเกอร์อาจเริ่มใช้ประโยชน์จากช่องโหว่เร็วเท่าที่ 7 กรกฎาคมตามที่เบนินันซาเตือนว่า“ ตอนนี้อย่างน้อยสามกลุ่มได้รายงานว่าการโจมตี
ร้ายกาจเนื่องจากวิธีการของมัน ผู้โจมตีใช้ประโยชน์จาก CVE-20125-53770 ถึง ขโมยกุญแจเครื่องเข้ารหัสของเซิร์ฟเวอร์ ข้อบกพร่องนี้มีผลต่อ SharePoint Server 2016, 2019 และฉบับการสมัครสมาชิก ลูกค้า SharePoint Online ยังคงไม่ได้รับผลกระทบ
การขโมยคีย์เหล่านี้อันตรายกว่าการละเมิดทั่วไป ช่วยให้ผู้โจมตีสามารถปลอมตัวเป็นผู้ใช้และบริการทำให้พวกเขาเข้าถึงอย่างลึกซึ้งและต่อเนื่องซึ่งสามารถอยู่รอดได้แม้หลังจากที่ช่องโหว่เดิมได้รับการแก้ไข สิ่งนี้ทำให้การฟื้นฟูซับซ้อนกว่าเพียงแค่ใช้การอัปเดตและต้องการการทำให้คีย์ที่ถูกขโมยเป็นโมฆะ
รายงานว่าศูนย์วันนั้นเป็นตัวแปรของข้อบกพร่องที่ได้รับการแก้ไขก่อนหน้านี้ CVE-2025-49706 สิ่งนี้ชี้ให้เห็นว่าผู้โจมตีมีแนวโน้มที่จะใช้“ แพทช์กระจาย”-วิเคราะห์การอัพเดทความปลอดภัย-เพื่อค้นหาเวกเตอร์ทางเลือกใหม่อย่างรวดเร็วเพื่อให้ได้ผลลัพธ์ที่เป็นอันตรายเช่นเดียวกัน อาวุธอย่างรวดเร็วนี้ตอกย้ำความซับซ้อนของกลุ่มที่กำหนดเป้าหมายซอฟต์แวร์องค์กร
การละเมิดหน่วยงานนิวเคลียร์ทำให้เกิดสัญญาณเตือนความมั่นคงแห่งชาติ
การยืนยันว่า NNSA เป็นหนึ่งในหน่วยงานที่ละเมิด href=”https://www.reuters.com/world/us/us-nuclear-weapons-agency-breached-microsoft-sharepoint-hack-bloomberg-news-2025-07-23/”target=”_ blank”> ยกระดับเหตุการณ์ระดับชาติ ในขณะที่หน่วยงานยืนยันว่ามีการกำหนดเป้าหมายผู้เชี่ยวชาญแนะนำว่าข้อมูลที่สำคัญที่สุดนั้นมีแนวโน้มที่จะปลอดภัยเนื่องจากถูกเก็บไว้ในการแยกหรือ”อากาศที่มีช่องอากาศ”เครือข่าย
อย่างไรก็ตามเอ็ดวินไลแมนจากสหภาพนักวิทยาศาสตร์ที่เกี่ยวข้องเตือนว่า”ซึ่งอาจรวมถึงข้อมูลที่เกี่ยวข้องกับวัสดุนิวเคลียร์หรืออาวุธที่ในขณะที่ไม่ใช่ความลับด้านบนยังคงมีความอ่อนไหวสูง
การละเมิดนี้เป็นไปตามรูปแบบการโจมตีที่น่าเป็นห่วงเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริการวมถึงการหาประโยชน์จาก SharePoint ก่อนหน้านี้ เหตุการณ์ที่เกิดขึ้นน่าจะเป็นหัวข้อของการอภิปรายในการเจรจาทางการค้าที่กำลังจะมาถึงดังที่สก็อตต์เบสเซนต์รัฐมนตรีว่าการกระทรวงการคลังของสหรัฐฯกล่าวว่า“ เห็นได้ชัดว่าสิ่งต่าง ๆ เช่นนั้นจะอยู่ในวาระการประชุมกับคู่หูจีนของฉัน เวอร์ชันในวันที่ 21 กรกฎาคม บริษัท ได้เรียกร้องให้ผู้ดูแลระบบใช้การอัปเดตทันทีเพื่อป้องกันการประนีประนอมเริ่มต้น
อย่างไรก็ตามการแก้ไขเพียงอย่างเดียวไม่เพียงพอ Microsoft เน้นว่าองค์กรจะต้อง