Chinese hackers exploited a Microsoft SharePoint flaw to breach global organizations, using multiple malware types and techniques. Los hackers chinos explotaron una falla de Microsoft SharePoint para violar organizaciones globales, utilizando múltiples tipos y técnicas de malware.

Chinese state-linked hackers exploited the unpatched Microsoft SharePoint vulnerability CVE-2025-53770, also known as ToolShell, to breach government agencies, telecom providers, universities, and financial institutions across North America, South America, Africa, and the Middle East. Los hackers vinculados al estado chino explotaron la vulnerabilidad sin parche de Microsoft SharePoint CVE-2025-53770, también conocida como ToolShell, para violar agencias gubernamentales, proveedores de telecomunicaciones, universidades e instituciones financieras en América del Norte, América del Sur, África y Oriente Medio. The flaw, patched in July 2025, allowed remote code execution and was used as a zero-day before remediation. La falla, corregida en julio de 2025, permitió la ejecución remota de código y se utilizó como un día cero antes de la remediación. Attackers deployed malware including Zingdoor, ShadowPad, and KrustyLoader, used DLL sideloading with legitimate tools, and leveraged living-off-the-land techniques to evade detection. Los atacantes desplegaron malware, incluidos Zingdoor, ShadowPad y KrustyLoader, usaron DLL sideloading con herramientas legítimas y aprovecharon técnicas de vida fuera de la tierra para evadir la detección. Multiple Chinese cyber groups, including Salt Typhoon, Linen Typhoon, and Violet Typhoon, were involved in a coordinated campaign, with evidence of collaboration and shared tools. Varios grupos cibernéticos chinos, incluidos Salt Typhoon, Linen Typhoon y Violet Typhoon, estuvieron involucrados en una campaña coordinada, con evidencia de colaboración y herramientas compartidas. The U.S. CISA added the vulnerability to its Known Exploited Vulnerabilities catalog, urging urgent patching to mitigate ongoing risks. El CISA de los Estados Unidos agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas, instando a un parcheo urgente para mitigar los riesgos en curso.