Microsoft ha ufficialmente collegato lo sfruttamento di vulnerabilità di sicurezza in istanze di SharePoint Server esposte a internet a due gruppi di hacker cinesi, noti come Linen Typhoon e Violet Typhoon, già dal 7 luglio 2025, confermando rapporti precedenti. Il colosso tecnologico ha inoltre osservato un terzo attore di minaccia basato in Cina, identificato come Storm-2603, che ha utilizzato le stesse vulnerabilità per ottenere accesso iniziale alle organizzazioni bersaglio.
Descrizione dei gruppi di minaccia
Linen Typhoon (noto anche come APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix e UNC215) è attivo dal 2012 e in passato è stato associato a famiglie di malware come SysUpdate, HyperBro e PlugX.
Violet Typhoon (noto anche come APT31, Bronze Vinewood, Judgement Panda, Red Keres e Zirconium) è attivo dal 2015 e ha precedentemente condotto attacchi contro Stati Uniti, Finlandia e Repubblica Ceca.
Storm-2603 è un sospetto attore di minaccia cinese che ha distribuito ransomware come Warlock e LockBit in passato.
Dettagli delle vulnerabilità
Le vulnerabilità, che interessano i server SharePoint on-premises, sfruttano correzioni incomplete per CVE-2025-49706, un difetto di spoofing, e CVE-2025-49704, un bug di esecuzione di codice remoto. I bypass sono stati assegnati gli identificatori CVE CVE-2025-53771 e CVE-2025-53770, rispettivamente.
Negli attacchi osservati da Microsoft, gli attori di minaccia hanno sfruttato i server SharePoint on-premises tramite una richiesta POST all’endpoint ToolPane, risultando in un bypass di autenticazione e nell’esecuzione di codice remoto.
Strategie di attacco e mitigazione
Come rivelato da altri fornitori di cybersecurity, le catene di infezione aprono la strada al dispiegamento di una web shell chiamata “spinstall0.aspx” (nota anche come spinstall.aspx, spinstall1.aspx o spinstall2.aspx) che consente agli avversari di recuperare e rubare dati MachineKey.
Il ricercatore di cybersecurity Rakesh Krishnan ha dichiarato che “sono state identificate tre invocazioni distinte di Microsoft Edge” durante l’analisi forense di un exploit di SharePoint. Questo include Network Utility Process, Crashpad Handler e GPU Process. “Ognuno serve una funzione unica all’interno dell’architettura di Chromium, ma collettivamente rivela una strategia di mimetismo comportamentale e evasione sandbox,” ha osservato Krishnan, sottolineando anche l’uso del Protocollo di Aggiornamento Client di Google (CUP) da parte della web shell per “mescolare il traffico malevolo con controlli di aggiornamento benigni.”
Per mitigare il rischio posto dalla minaccia, è essenziale che gli utenti applichino l’ultimo aggiornamento per SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Server 2016, ruotino le chiavi macchina ASP.NET del server SharePoint, riavviino Internet Information Services (IIS) e implementino Microsoft Defender for Endpoint o soluzioni equivalenti.
Fonte: The Hackers News
