A Symantec, equipe de caçadores de ameaças da Broadcom, identificou que agentes ligados à China continuam a explorar a vulnerabilidade CVE-2025-53770 em servidores Microsoft SharePoint on-premise, apesar do patch disponibilizado em julho de 2025. O principal alvo foi uma operadora de telecomunicações no Oriente Médio.
Além da empresa de telecom, foram atingidos departamentos governamentais em um país africano, órgãos públicos na América do Sul, uma universidade nos Estados Unidos, uma provável agência estadual de tecnologia também na África, um ministério no Oriente Médio e uma companhia financeira na Europa.
A falha, conhecida como ToolShell, permite burlar a autenticação e executar código remotamente. Ela é vista como um desvio de correção para as vulnerabilidades CVE-2025-49704 e CVE-2025-49706. Inicialmente, o zero-day foi usado por três grupos chineses: Linen Typhoon (Budworm), Violet Typhoon (Sheathminer) e Storm-2603, este último associado à distribuição dos ransomwares Warlock, LockBit e Babuk.
Novas evidências apontam para uma participação ainda mais ampla. O grupo Salt Typhoon (Glowworm) teria explorado o mesmo bug para instalar as ferramentas Zingdoor, ShadowPad e o carregador Rust-based KrustyLoader na rede da operadora de telecom e em dois órgãos africanos.
KrustyLoader foi descrito pela primeira vez em janeiro de 2024 e já havia sido usado pelo coletivo UNC5221 em ataques que exploraram falhas no Ivanti Endpoint Manager Mobile (EPMM) e no SAP NetWeaver.
Nos ataques contra agências sul-americanas e a universidade norte-americana, os criminosos recorreram a vulnerabilidades não especificadas para conseguir acesso inicial. Depois, abusaram de servidores SQL e de servidores Apache HTTP com Adobe ColdFusion, empregando DLL side-loading para entregar os malwares.
Imagem: Internet
Em algumas invasões, também foi acionado o exploit CVE-2021-36942 (PetitPotam) para escalar privilégios e comprometer domínios. Ferramentas legítimas do sistema, as chamadas living-off-the-land (LotL), foram usadas para varredura de rede, download de arquivos e roubo de credenciais.
Segundo a Symantec, há sobreposição de alvos e utilitários com campanhas já atribuídas ao Glowworm, mas as evidências não permitem atribuição conclusiva a um único grupo. Todos os indícios, contudo, reforçam a origem chinesa das ações, que buscam coletar credenciais e manter acesso furtivo e persistente para fins de espionagem.
Com informações de The Hacker News