Gli attori delle minacce legati alla Cina stanno sfruttando una vulnerabilità chiamata ToolShell nei server Microsoft SharePoint, anche dopo il rilascio della patch di luglio 2025. Questa falla di sicurezza, identificata come CVE-2025-53770, permette di aggirare l’autenticazione e ottenere l’esecuzione di codice remoto. Nonostante sia stata corretta, vari gruppi di cyber-spionaggio hanno subito iniziato ad abusare della vulnerabilità per infiltrarsi in organizzazioni di tutto il mondo.

Le vittime e i gruppi coinvolti

Tra le vittime figurano una compagnia di telecomunicazioni in Medio Oriente, diversi dipartimenti governativi in Africa e Sud America, un’università statunitense e una società finanziaria europea. Gli attacchi sono stati condotti da gruppi come Linen Typhoon, Violet Typhoon e Storm-2603, già noti per aver impiegato ransomware come Warlock, LockBit e Babuk. Tuttavia, le indagini più recenti rivelano che la minaccia è più ampia e coinvolge anche il gruppo Salt Typhoon (Glowworm), che ha usato la vulnerabilità ToolShell per distribuire malware come Zingdoor, ShadowPad e KrustyLoader.

Strumenti e tecniche utilizzate

KrustyLoader, un loader scritto in Rust, era già stato utilizzato dal gruppo UNC5221 per attacchi contro Ivanti Endpoint Manager Mobile e SAP NetWeaver, dimostrando la capacità degli attori cinesi di riutilizzare strumenti sofisticati adattandoli a nuovi vettori d’attacco. Gli attacchi ai governi sudamericani e alle università statunitensi hanno incluso lo sfruttamento di vulnerabilità sconosciute per il primo accesso, seguito dall’abuso di server SQL e Apache HTTP con Adobe ColdFusion, usando tecniche di DLL side-loading per distribuire i payload malevoli.

In alcuni casi, i cybercriminali hanno anche sfruttato la vulnerabilità CVE-2021-36942, nota come PetitPotam, per l’escalation dei privilegi e la compromissione del dominio, utilizzando sia strumenti già noti sia utility di sistema (Living off the Land) per scansione, download di file e furto di credenziali. Secondo le analisi, ci sono sovrapposizioni tra vittime e strumenti usati nelle varie campagne, ma non è stato possibile attribuire con certezza tutti gli attacchi a un singolo gruppo. Tuttavia, tutti gli indizi indicano la matrice cinese degli attori coinvolti.

Obiettivi e raccomandazioni

L’obiettivo principale di queste operazioni appare essere il furto di credenziali e la creazione di accessi persistenti e non rilevati alle reti delle vittime, con finalità di spionaggio a lungo termine. Questo scenario sottolinea l’importanza di aggiornare tempestivamente i sistemi e monitorare costantemente le infrastrutture critiche contro nuove tecniche di attacco che sfruttano anche vulnerabilità già note.