Google Mand Mandiant đã liên kết một nhóm hack Trung Quốc-Nexus với làn sóng tấn công toàn cầu ban đầu khai thác một lỗ hổng quan trọng của Microsoft SharePoint. Chuỗi khai thác, được đặt tên là ToolShell”(CVE-2025-53770), cho phép kẻ tấn công bỏ qua xác thực và thực thi mã trên các máy chủ tại chỗ dễ bị tổn thương. Microsoft đã phát hành các bản vá bảo mật khẩn cấp chỉ một ngày trước đó, tranh giành để chứa bụi phóng xạ. Với một khai thác bằng chứng về khái niệm hiện đang công khai, rủi ro cho các tổ chức chưa được cân bằng đã leo thang đáng kể. Trong một tuyên bố, Charles Carmakal, CTO của Google Cloud, Mandiant Consulting, CVE-2025-49706
Những kẻ tấn công có khả năng đã thực hiện bản vá lỗi khác”để thiết kế khai thác mới. Kỹ thuật này liên quan đến việc so sánh pháp y mã Pre-Patch và Post Patch để xác định chính xác sự thay đổi chính xác của các nhà phát triển. Bằng cách hiểu cách khắc phục, họ có thể săn lùng các đường dẫn mã thay thế đạt được kết quả tương tự. href=”https://thehackernews.com/2025/07/hackers-exploit-sharepoint-zero-ay.html”Target=”_ Blank”> Khai thác có thể đã bắt đầu sớm nhất là ngày 7 tháng 7 . Dòng thời gian trước đó cho thấy những kẻ tấn công có kiến thức nâng cao về các chi tiết lỗ hổng, có thể trước khi lỗ hổng ban đầu được vá. Theo nghiên cứu từ bảo mật mắt, trong đó lần đầu tiên phát hiện chiến dịch , những kẻ tấn công đã tạo ra một tệp có tên spinstall0.aspx trên máy chủ được thỏa hiệp. Đây không phải là một cửa hậu điển hình được thiết kế để kiểm soát rộng. Mục đích duy nhất, được nhắm mục tiêu của nó là để điều chỉnh các phím máy mật mã của máy chủ. Các khóa này là thông tin chính cho quản lý nhà nước SharePoint Farm, được sử dụng để xác nhận và giải mã dữ liệu phiên. Như bảo mật mắt cảnh báo, các phím này cho phép những kẻ tấn công mạo danh người dùng hoặc dịch vụ, ngay cả sau khi máy chủ được vá. Vì vậy, việc vá lỗi một mình không giải quyết được vấn đề.”Điều này làm cho việc khắc phục phức tạp hơn nhiều so với việc xóa một tệp độc hại; Nó yêu cầu một vòng quay và vá lỗi đầy đủ. Công ty đã khuyên các quản trị viên cho phép giao diện quét phần mềm chống phần mềm (AMSI) và Proof-of-Concept (POC) khai thác trên GitHub Vào ngày 21 tháng 7. Mã này làm cho công cụ của công cụ tinh vi”có thể truy cập được với phạm vi rộng hơn nhiều của các tác nhân độc hại, từ các bản độ chính xác của các nhóm. Các công ty bảo mật như Rapid7 và Bitdefender đã ban hành các tư vấn kỹ thuật của riêng họ, kêu gọi khách hàng vá lại ngay lập tức. Nó lặp lại các cuộc khủng hoảng bảo mật SharePoint trước đây, bao gồm các khai thác quan trọng khác vào cuối năm 2024. Đối với các tổ chức quản lý máy chủ của riêng họ, sự cảnh giác liên tục và vá lỗi nhanh chóng vẫn là phòng thủ quan trọng.