Microsoft ha revelat que un dels actors de l’amenaça darrere de l’explotació activa dels defectes de SharePoint està desplegant el programari de segrest Warlock en sistemes atacats.

El gegant tecnològic, en una actualització compartida dimecres, va dir que les troballes es basen en una «anàlisi ampliada i intel·ligència d’amenaces del nostre seguiment continuat de l’activitat d’explotació per part de Storm-2603.»

L’actor d’amenaça atribuït a l’activitat amb motivació financera és un presumpte actor d’amenaça amb seu a la Xina que se sap que en el passat ja havia desplegat els programaris de segrest Warlock i LockBit.

Les cadenes d’atac comporten l’explotació de la CVE-2025-49706, una vulnerabilitat de falsificació, i la CVE-2025-49704, una vulnerabilitat d’execució de codi remota, orientada a servidors de SharePoint locals sense pedaços per desplegar la càrrega útil de l’intèrpret d’ordres web spinstall0.aspx.

«Aquest accés inicial es fa servir per dur a terme l’execució d’ordres mitjançant el procés w3wp.exe que admet SharePoint», va dir Microsoft. «Storm-2603 inicia una sèrie d’ordres de descobriment, inclòs el whoami, per enumerar el context de l’usuari i validar els nivells de privilegis.»

Els atacs es caracteritzen per l’ús de cmd.exe i scripts per lots a mesura que l’actor de l’amenaça s’endinsa més a fons a la xarxa objectiu, mentre que services.exe s’explota per desactivar les proteccions de Microsoft Defender i modificar el registre de Windows.

A més d’aprofitar spinstall0.aspx per a la persistència, s’ha observat que Storm-2603 crea tasques programades i modifica components dels Serveis d’Informació d’Internet (IIS) per llançar el que Microsoft va descriure com a assemblatges .NET sospitosos. Aquestes accions estan dissenyades per garantir l’accés continu encara que les víctimes prenguin mesures per connectar els vectors d’accés inicials.

Alguns dels altres aspectes destacables dels atacs inclouen el desplegament de Mimikatz per recollir credencials amb un atac adreçat al Servei del Subsistema de l’Autoritat de Seguretat Local (LSASS) i després fer el moviment lateral mitjançant PsExec i el conjunt d’eines Impacket.

«A continuació, s’observa com Storm-2603 modifica objectes de política de grup (GPO) per distribuir el  programari de segrest Warlock en entorns compromesos», va dir Microsoft.

Com a mitigacions, es demana que els usuaris segueixin els passos següents:

• Actualitzeu a versions compatibles de Microsoft SharePoint Server local.
• Apliqueu les últimes actualitzacions de seguretat.
• Assegureu-vos que la interfície d’anàlisi antimalware estigui activada i configurada correctament.
• Desplegueu Microsoft Defender per a Endpoint o solucions equivalents.
• Roteu les claus de la màquina del SharePoint Server ASP.NET
• Reinicieu IIS a tots els servidors de SharePoint mitjançant iisreset.exe (si no es pot activar AMSI, es recomana rotar les claus i reiniciar IIS després d’instal·lar la nova actualització de seguretat).
• Implementar el pla de resposta a incidents.

El desenvolupament es produeix quan els defectes de SharePoint Server s’han explotat a gran escala, perquè ja han causat almenys 400 víctimes. Linen Typhoon (també conegut com a APT27) i Violet Typhoon (també conegut com a APT31) són dos altres grups de pirateria xinesa que s’han relacionat amb l’activitat maliciosa. La Xina ha negat les acusacions.

«La ciberseguretat és un repte comú al qual s’enfronten tots els països i s’ha d’abordar conjuntament mitjançant el diàleg i la cooperació», va dir Guo Jiakun, portaveu del Ministeri d’Afers Exteriors de la Xina. «La Xina s’oposa i lluita contra les activitats de pirateria informàtica d’acord amb la llei. Al mateix temps, ens oposem a les difamacions i atacs contra la Xina amb l’excusa d’haver patit problemes de ciberseguretat.»

Actualització#

La firma de ciberseguretat ESET va dir que ha observat activitat d’explotació de ToolShell a nivell mundial, els Estats Units representen el 13,3 % de tots els atacs, segons les seves dades de telemetria. Altres objectius destacats són el Regne Unit, Itàlia, Portugal, França i Alemanya.

«Les víctimes dels atacs de ToolShell inclouen diverses organitzacions governamentals d’alt valor que han estat des de fa temps objectiu d’aquests grups», ha explicat l’empresa eslovaca. També va dir «Com que ara el gat ha sortit de la bossa, esperem que molts més atacants oportunistes aprofitin els sistemes sense pedaços”.

Les dades de Check Point Research han revelat esforços d’explotació a gran escala en curs. El 24 de juliol de 2025, s’han detectat més de 4.600 intents de compromís en més de 300 organitzacions d’arreu del món, inclosos els sectors governamentals, programari, telecomunicacions, serveis financers, serveis empresarials i béns de consum.

«De manera alarmant, veiem que els atacants també aprofiten les vulnerabilitats conegudes d’Ivanti EPMM al llarg de la campanya»,  va dir Check Point Research.

L’anàlisi de WithSecure dels atacs de ToolShell també ha descobert el desplegament de la Godzilla shell web, cosa que suggereix que l’activitat pot estar enllaçada amb una campanya prèvia per un actor d’amenaces no atribuït el desembre de 2024, que va armar les claus de la màquina ASP.NET divulgades públicament.

«Un dels objectius principals de la campanya actual és robar les claus de la màquina ASP.NET per mantenir l’accés al servidor de SharePoint fins i tot després d’haver-ne els pedaços», va dir el proveïdor de seguretat finlandès. va dir.

A més, els atacs han obert el camí per a altres càrregues útils com les següents:

• Information, per recopilar dades del sistema i una llista de processos en execució.
• RemoteExec, per executar ordres mitjançant cmd.exe i tornar les respostes de l’execució a l’actor de l’amenaça.
• AsmLoader, per llançar un codi shell ja sigui dins del procés en execució (treballador IIS) o en un procés remot.
• Un robatori de MachineKey ASP.NET personalitzat similar a spinstall0.aspx que recull components de MachineKey, juntament amb el nom de la màquina i el nom d’usuari.
• BadPotato, per augmentar els privilegis.

«L’ús i la implementació d’aquests suggereixen que és probable que un actor d’amenaces de parla xinesa estigui involucrat en aquesta activitat, però no es pot fer una atribució definitiva en aquest moment basant-se únicament en aquests indicadors», va dir WithSecure.

Fortinet FortiGuard Labs, que també ha fet un seguiment de les campanyes, va dir que els explotadors de ToolShell s’han utilitzat per carregar un shell web ASP.NET anomenat GhostWebShell que està dissenyat per a l’execució d’ordres arbitràries mitjançant cmd.exe i accés persistent.

«L’intèrpret d’ordres web ‘GhostWebShell’ és un intèrpret d’ordres lleuger i resident a la memòria que explota de manera experta els components interns de SharePoint i ASP.NET per a la persistència, l’execució i l’evasió avançada, cosa que la converteix en una eina formidable per a la postexplotació», ha explicat la investigadora de seguretat Cara Lin. 

Els atacs també inclouen una eina anomenada KeySiphon que funciona de manera similar a la càrrega útil de l’intèrpret d’ordres web spinstall0.aspx, atès que captura les claus de validació i desxifratge de l’aplicació juntament amb els modes criptogràfics escollits i la recollida d’informació del sistema.

«Posseir aquests secrets permet que  un atacant forgi testimonis d’autenticació, manipuli els MAC de ViewState per a la desserialització o manipulació de dades i desxifri les dades protegides dins del mateix domini d’aplicació», va dir Fortinet.