Microsoft Vincula los Ataques de Sharepoint a Grupos de Hackers Chinos
Muriel de Juan Lara 07/22/2025 Ciberseguridad, Microsoft, Ciberataque
3 Minutos

Hackers vinculados al gobierno chino están detrás de una nueva ola de ataques que aprovechan una cadena de vulnerabilidades de día cero en Microsoft SharePoint, según ha confirmado Microsoft.

Estos ataques, bastante sofisticados, utilizan una herramienta conocida como ToolShell, con la que los atacantes logran colarse en servidores locales de SharePoint y, desde ahí, comprometen a decenas de organizaciones en todo el mundo.

En un informe reciente, Microsoft explicó que ha identificado a dos grupos de hackers respaldados por el Estado chino, conocidos como Linen Typhoon y Violet Typhoon, como responsables de explotar estas fallas en servidores SharePoint accesibles por internet. Además, un tercer grupo llamado Storm-2603, también con base en China, ha sido detectado utilizando la misma cadena de exploits.

Microsoft también señaló que hay otras amenazas activas investigándose actualmente, lo que sugiere que más actores podrían estar aprovechando esta brecha de seguridad para llevar a cabo ciberataques dirigidos.

 

Más de 50 organizaciones comprometidas por vulnerabilidades críticas en SharePoint

 

Uno de los primeros grupos que aprovechó estas vulnerabilidades tiene vínculos conocidos con actores de amenazas respaldados por el gobierno chino. Y lo más preocupante es que no se trata de un único grupo: actualmente, varios actores están explotando activamente estas fallas, según expertos en ciberseguridad.

Los primeros indicios de esta campaña surgieron el pasado viernes, cuando una empresa de ciberseguridad con sede en Países Bajos identificó ataques que explotaban dos vulnerabilidades críticas de día cero: CVE-2025-49706 y CVE-2025-49704. Estas fallas fueron inicialmente demostradas en el concurso de hacking Pwn2Own Berlín, por investigadores de Viettel Cyber Security.

Desde entonces, al menos 54 organizaciones ya han sido comprometidas, incluidas grandes corporaciones multinacionales y entidades gubernamentales. Y el número sigue creciendo.

Otra firma de ciberseguridad informó haber detectado los primeros signos de explotación ya el 7 de julio. Según su análisis, los ataques están dirigidos principalmente a organizaciones del sector gubernamental, telecomunicaciones y empresas de software, tanto en América del Norte como en Europa Occidental.

En respuesta a esta amenaza, Microsoft lanzó parches de emergencia para varias versiones de SharePoint, incluyendo SharePoint Subscription Edition, SharePoint 2019 y SharePoint 2016. Las actualizaciones publicadas en el marco del martes de parches de julio abordan estas vulnerabilidades críticas y han sido identificadas oficialmente con los nuevos códigos CVE-2025-53770 y CVE-2025-53771.

 

El exploit de PoC ya está disponible y la amenaza va en aumento

 

Apenas unos días después de que Microsoft publicara los parches para las versiones vulnerables de SharePoint, ya se ha hecho público un exploit de prueba de concepto (PoC) para la vulnerabilidad CVE-2025-53770. Está disponible en GitHub, lo que, lamentablemente, facilita que más grupos de hackers se sumen a los ataques en curso.

La publicación de este PoC no solo acelera la propagación de la amenaza, sino que aumenta significativamente el riesgo para las organizaciones que aún no han actualizado sus sistemas.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) no tardó en reaccionar. Ha añadido esta vulnerabilidad de ejecución remota de código a su catálogo de fallos explotados activamente, y ha ordenado a todas las agencias federales que apliquen los parches en un plazo de 24 horas tras su publicación.

Según CISA, el exploit (conocido como ToolShell) permite a los atacantes acceder sin autenticación a los servidores SharePoint, lo que les da control total sobre archivos, configuraciones y otras funciones internas. Además, pueden ejecutar código malicioso a través de la red, lo que convierte esta brecha en una puerta abierta para comprometer por completo una infraestructura.

“Microsoft está actuando con rapidez y estamos colaborando con ellos para ayudar a notificar a las entidades afectadas y recomendar medidas urgentes de mitigación”, explicó CISA. “Recomendamos a todas las organizaciones con servidores SharePoint locales que actúen de inmediato”.

 

Indicadores de compromiso (IoC) que debes conocer

 

Para ayudar a los equipos de ciberseguridad a identificar posibles intrusiones, Microsoft ha compartido una lista de indicadores de compromiso (IoC) relacionados con esta campaña. Estos datos son clave para detectar actividad maliciosa en redes internas:

 

  1. Direcciones IP utilizadas para explotar SharePoint:

    1. 134.199.202[.]205

    2. 104.238.159[.]149

    3. 188.130.206[.]168

  2. Dirección IP para comunicaciones de post-explotación (C2):

    1. 131.226.2[.]6

  3. Nombres de archivos sospechosos:

    1. Spinstall0.aspx (y sus variantes: spinstall.aspx, spinstall1.aspx, spinstall2.aspx)

  4. URL utilizada para entregar cargas maliciosas vía PowerShell:

    1. c34718cbb4c6.ngrok-free[.]app/file.ps1

¿Qué debes hacer ahora?

 

Si gestionas servidores locales de Microsoft SharePoint, el momento de actuar es ahora. La combinación de un exploit público, actores estatales involucrados y una alta tasa de explotación hace que esta vulnerabilidad sea especialmente crítica.

Asegúrate de:

 

  1. Aplicar los parches de seguridad más recientes de Microsoft.

  2. Revisar los IoC proporcionados en tu red.

  3. Monitorizar conexiones y procesos sospechosos.

  4. Reforzar las políticas de acceso y segmentación de red.

 

No se trata solo de proteger tus sistemas; se trata de evitar una posible intrusión con consecuencias operativas y legales graves.

Tag:

Ciberseguridad Microsoft Ciberataque

Pentesting vs Hacking Ético: Así se Diferencian y se Complementan

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente
Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
Top 5 de Foros Rusos en la Dark Web

Artículos Relacionados

Ciberseguridad, Riesgos informaticos, Malware, Ciberataque
Adriana Aguilar 07/21/2025

LameHug: El Nuevo Malware que usa IA para Robar Datos en Windows

Una nueva amenaza llamada LameHug ha entrado en escena, y no es cualquier malware. Esta familia

Leer más
Riesgos informaticos, Vulnerabilidades, Microsoft, Ciberataque
Gustavo Sánchez 07/21/2025

Nuevo Día Cero en SharePoint (CVE-2025-53770): ¡Actualiza Ahora!

Una nueva vulnerabilidad crítica de día cero en Microsoft SharePoint, identificada como

Leer más
Ciberseguridad, Riesgos informaticos, Vulnerabilidades, Ciberataque
Jonathan Montoya 07/17/2025

El Lado Oscuro de tus Contraseñas: ¿Cómo terminan en la dark web?

¿Alguna vez te has preguntado si alguna de tus contraseñas ha terminado expuesta en internet? Si la

Leer más