Связанные с Китаем хакерские группировки активно эксплуатируют недавно исправленную уязвимость в Microsoft SharePoint, известную как ToolShell (CVE-2025-53770), для проведения шпионских операций. Согласно отчету команды Symantec Threat Hunter от Broadcom, атаки начались после того, как уязвимость была публично раскрыта и для нее был выпущен патч в июле 2025 года. Это свидетельствует о том, что целью злоумышленников являются организации, не успевшие установить обновления.
Уязвимость ToolShell затрагивает локальные серверы Microsoft SharePoint, позволяя злоумышленникам обходить аутентификацию и выполнять произвольный код удаленно. Технически она представляет собой обход исправлений для двух предыдущих уязвимостей: CVE-2025-49704 и CVE-2025-49706. Использование этой бреши открывает атакующим полный доступ к скомпрометированным системам.
Первоначально эксплуатацию уязвимости нулевого дня начали три различные группы. К ним относятся Linen Typhoon (также известная как Budworm), Violet Typhoon (Sheathminer) и Storm-2603. Последняя группировка примечательна тем, что связана с развертыванием программ-вымогателей, включая Warlock, LockBit и Babuk.
В рамках более широкой кампании, зафиксированной Symantec, действуют и другие китайские группы. В частности, группировка Salt Typhoon (Glowworm) использовала ToolShell для атак на телекоммуникационную компанию и два государственных учреждения в Африке. Также была замечена активность группы UNC5221, ранее известной применением инструмента KrustyLoader в своих операциях.
Атаки носят глобальный характер и направлены на различные секторы. Подтвержденными жертвами стали телекоммуникационная компания на Ближнем Востоке, правительственные ведомства в одной из стран Африки, государственные учреждения в Южной Америке и университет в США.
Среди вероятных целей также числятся государственное технологическое агентство в Африке, правительственное ведомство на Ближнем Востоке и финансовая компания в одной из европейских стран. Широкий спектр целей указывает на масштабные интересы злоумышленников в сборе разведывательной информации.
В ходе атак Salt Typhoon (Glowworm) развертывала вредоносное ПО Zingdoor и ShadowPad. Особое внимание привлекает использование загрузчика KrustyLoader, написанного на языке Rust. Этот инструмент был впервые детально описан компанией Synacktiv в январе 2024 года и ранее применялся группой UNC5221 для атак на уязвимости в Ivanti Endpoint Manager Mobile (EPMM) и SAP NetWeaver.
После получения первоначального доступа злоумышленники используют дополнительные техники для закрепления в сети. Они применяют уязвимость CVE-2021-36942 (PetitPotam) для повышения привилегий и компрометации всего домена. Также активно используются методы «жизни за счет системы» (Living-off-the-Land), сканирование сети, загрузка файлов и кража учетных данных.
Основной мотив атак — шпионаж. Главные цели злоумышленников сводятся к двум задачам: кража учетных данных и создание постоянного, скрытого доступа к сетям жертв для долгосрочного сбора информации.
Несмотря на наличие доказательств, указывающих на китайское происхождение атакующих, и совпадения в инструментарии и выборе жертв, Symantec отмечает, что у них «нет достаточных доказательств для окончательного отнесения этой активности к какой-либо одной конкретной группе», такой как Glowworm, для всех зафиксированных инцидентов.
Изображение носит иллюстративный характер
Уязвимость ToolShell затрагивает локальные серверы Microsoft SharePoint, позволяя злоумышленникам обходить аутентификацию и выполнять произвольный код удаленно. Технически она представляет собой обход исправлений для двух предыдущих уязвимостей: CVE-2025-49704 и CVE-2025-49706. Использование этой бреши открывает атакующим полный доступ к скомпрометированным системам.
Первоначально эксплуатацию уязвимости нулевого дня начали три различные группы. К ним относятся Linen Typhoon (также известная как Budworm), Violet Typhoon (Sheathminer) и Storm-2603. Последняя группировка примечательна тем, что связана с развертыванием программ-вымогателей, включая Warlock, LockBit и Babuk.
В рамках более широкой кампании, зафиксированной Symantec, действуют и другие китайские группы. В частности, группировка Salt Typhoon (Glowworm) использовала ToolShell для атак на телекоммуникационную компанию и два государственных учреждения в Африке. Также была замечена активность группы UNC5221, ранее известной применением инструмента KrustyLoader в своих операциях.
Атаки носят глобальный характер и направлены на различные секторы. Подтвержденными жертвами стали телекоммуникационная компания на Ближнем Востоке, правительственные ведомства в одной из стран Африки, государственные учреждения в Южной Америке и университет в США.
Среди вероятных целей также числятся государственное технологическое агентство в Африке, правительственное ведомство на Ближнем Востоке и финансовая компания в одной из европейских стран. Широкий спектр целей указывает на масштабные интересы злоумышленников в сборе разведывательной информации.
В ходе атак Salt Typhoon (Glowworm) развертывала вредоносное ПО Zingdoor и ShadowPad. Особое внимание привлекает использование загрузчика KrustyLoader, написанного на языке Rust. Этот инструмент был впервые детально описан компанией Synacktiv в январе 2024 года и ранее применялся группой UNC5221 для атак на уязвимости в Ivanti Endpoint Manager Mobile (EPMM) и SAP NetWeaver.
После получения первоначального доступа злоумышленники используют дополнительные техники для закрепления в сети. Они применяют уязвимость CVE-2021-36942 (PetitPotam) для повышения привилегий и компрометации всего домена. Также активно используются методы «жизни за счет системы» (Living-off-the-Land), сканирование сети, загрузка файлов и кража учетных данных.
Основной мотив атак — шпионаж. Главные цели злоумышленников сводятся к двум задачам: кража учетных данных и создание постоянного, скрытого доступа к сетям жертв для долгосрочного сбора информации.
Несмотря на наличие доказательств, указывающих на китайское происхождение атакующих, и совпадения в инструментарии и выборе жертв, Symantec отмечает, что у них «нет достаточных доказательств для окончательного отнесения этой активности к какой-либо одной конкретной группе», такой как Glowworm, для всех зафиксированных инцидентов.
