Hackers supostamente ligados à China vêm explorando a vulnerabilidade ToolShell (
CVE-2025-53770
) no Microsoft SharePoint em ataques direcionados a agências governamentais, universidades, provedores de serviços de telecomunicações e instituições financeiras.
A falha de segurança afeta servidores SharePoint on-premise e foi divulgada em 20 de julho como um zero-day ativo, após diversos grupos de hackers chineses aproveitarem-na em ataques em larga escala. No dia seguinte, a Microsoft lançou atualizações emergenciais para corrigir o problema.
Essa vulnerabilidade funciona como um bypass para as falhas
CVE-2025-49706
e
CVE-2025-49704
, demonstradas pelos pesquisadores da Viettel Cyber Security durante a competição Pwn2Own Berlin em maio.
O exploit permite execução remota de código e acesso total ao sistema de arquivos sem necessidade de autenticação.
Segundo a Microsoft, três grupos de ameaças chineses — Budworm/Linen Typhoon, Sheathminer/Violet Typhoon e Storm-2603/Warlock ransomware — exploraram o ToolShell.
Em relatório divulgado, a empresa de cibersegurança Symantec, pertencente à Broadcom, revela que o ToolShell foi usado para comprometer organizações no Oriente Médio, América do Sul, Estados Unidos e África.
As campanhas utilizaram malware geralmente associado ao grupo Salt Typhoon, de origem chinesa, atacando:
- Um provedor de telecomunicações do Oriente Médio
- Dois órgãos governamentais de um país africano
- Duas agências governamentais na América do Sul
- Uma universidade nos Estados Unidos
- Uma agência estatal de tecnologia na África
- Um departamento governamental do Oriente Médio
- Uma empresa financeira europeia
O foco do relatório da Symantec é a atividade contra o provedor de telecomunicações, que começou em 21 de julho com a exploração da
CVE-2025-53770
para instalar webshells e garantir acesso persistente.
Em seguida, houve DLL side-loading de uma backdoor escrita em Go chamada Zingdoor, capaz de coletar informações do sistema, manipular arquivos e executar comandos remotamente.
Depois, outro carregamento lateral lançou o que aparenta ser o trojan ShadowPad, seguido da implantação do KrustyLoader, uma ferramenta em Rust que finalmente instalou o framework de pós-exploração de código aberto Sliver.
Vale destacar que os ataques utilizaram side-loading com executáveis legítimos da Trend Micro e BitDefender.
Nos ataques na América do Sul, os hackers usaram um arquivo com nome parecido ao da Symantec para enganar.
Em seguida, os invasores fizeram dump de credenciais utilizando ProcDump, Minidump e LsassDumper, e exploraram a vulnerabilidade PetitPotam (
CVE-2021-36942
) para comprometer o domínio.
Os pesquisadores apontam que as ferramentas usadas nos ataques, muitas delas living-off-the-land, incluíram o utilitário Certutil da Microsoft, o GoGo Scanner (engine de varredura red-team) e o Revsocks, que permite exfiltração de dados, comunicação de comando e controle (C2) e persistência no dispositivo infectado.
A Symantec enfatiza que esses achados indicam que a exploração do ToolShell foi realizada por um grupo maior de atores chineses do que se imaginava inicialmente, ampliando a ameaça relacionada a essa vulnerabilidade crítica.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...