Un grupo de hackers con base en China está aprovechando servidores vulnerables de Microsoft SharePoint para desplegar el ransomware Warlock, apuntando a una cadena de vulnerabilidades recientemente corregidas conocida como ToolShell, utilizada en ataques de día cero.
Según Shadowserver, una organización sin fines de lucro especializada en ciberseguridad, más de 420 servidores SharePoint siguen expuestos públicamente y están en riesgo de ser comprometidos por esta campaña activa.
Aunque ya se ha visto a este grupo utilizar tanto Warlock como Lockbit en ataques anteriores, Microsoft admite que, por ahora, no puede determinar con certeza cuáles son los objetivos específicos de este actor de amenazas.
Desde el 18 de julio de 2025, Microsoft ha detectado que el grupo de amenazas Storm-2603 está aprovechando estas vulnerabilidades para distribuir ransomware de forma activa.
Una vez que logran acceder a la red de sus víctimas, los atacantes del grupo Storm-2603 utilizan la conocida herramienta de hacking Mimikatz para robar credenciales en texto plano directamente desde la memoria LSASS, una técnica común para escalar privilegios dentro del sistema.
Después, se mueven lateralmente por la red usando PsExec y el conjunto de herramientas Impacket, ejecutando comandos a través de WMI (Windows Management Instrumentation) y modificando políticas de grupo (GPO) para distribuir el ransomware Warlock en otros equipos comprometidos.
Microsoft advierte: “Recomendamos a todos los clientes aplicar de inmediato las actualizaciones de seguridad de SharePoint Server en entornos locales y seguir los pasos de mitigación que detallamos en nuestro blog oficial.”
Flujo de ataque del ransomware Storm-2603 (Microsoft)
Conoce más sobre: Agencia de Armas Nucleares de EE. UU Hackeada en Ataques de SharePoint
Investigadores de Microsoft Threat Intelligence han vinculado recientemente a los grupos de hackers patrocinados por el Estado chino, Linen Typhoon y Violet Typhoon, con la campaña de ataques que explota vulnerabilidades críticas en Microsoft SharePoint.
Este hallazgo llega poco después de que la empresa holandesa de ciberseguridad Eye Security descubriera los primeros ataques de día cero que aprovechan las fallas CVE-2025-49706 y CVE-2025-49704. Según Piet Kerkhofs, CTO de Eye Security, la situación es más grave de lo que parece: “Muchas organizaciones ya estaban comprometidas desde hace tiempo”.
Los datos recopilados por Eye Security indican que al menos 400 servidores han sido infectados con malware y que los atacantes han logrado vulnerar al menos 148 organizaciones en todo el mundo.
La gravedad del asunto no ha pasado desapercibida para las autoridades. La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) añadió recientemente otra vulnerabilidad crítica a su catálogo de amenazas activas: la falla de ejecución remota de código CVE-2025-53770, también relacionada con la cadena de exploits ToolShell. La agencia ordenó a todas las entidades federales aplicar parches y asegurar sus sistemas en un plazo máximo de 24 horas.
El impacto ya ha tocado instituciones altamente sensibles. Esta semana, el Departamento de Energía de EE. UU. confirmó que su Administración Nacional de Seguridad Nuclear (la agencia que gestiona el arsenal nuclear del país) fue víctima de los ataques dirigidos a SharePoint. Aunque, hasta ahora, no se ha encontrado evidencia de que datos clasificados hayan sido comprometidos.
Además, Bloomberg reportó que otras agencias gubernamentales también han sido afectadas, incluyendo el Departamento de Educación de EE. UU., la Asamblea General de Rhode Island y el Departamento de Ingresos de Florida. La campaña también ha alcanzado redes gubernamentales en Europa y Medio Oriente.
Por su parte, The Washington Post informó que los Institutos Nacionales de Salud (NIH), dependientes del Departamento de Salud y Servicios Humanos de EE. UU., también fueron comprometidos.