Una operación de ciberespionaje sofisticada realizada por actores de amenazas patrocinados por el estado chino ha estado explotando una vulnerabilidad sin parche en Microsoft SharePoint para infiltrarse en objetivos de alto valor en múltiples sectores, según avisos conjuntos de los Grupos de Análisis de Amenazas (TAG) de Microsoft y Google.
La campaña, activa desde al menos inicios de 2025, explota una vulnerabilidad crítica de ejecución remota de código (RCE) en servidores SharePoint (CVE pendiente de asignación) que permite a los atacantes obtener acceso persistente a redes empresariales. Investigadores señalan que la cadena de explotación demuestra un conocimiento avanzado de la arquitectura de SharePoint, sugiriendo recursos a nivel estatal.
Entre los objetivos confirmados se encuentran varias organizaciones de seguridad nacional estadounidenses, aunque Microsoft no ha revelado nombres específicos. Los atacantes habrían exfiltrado documentos sensibles y establecido accesos persistentes en redes comprometidas. Evidencia sugiere que los grupos pertenecen al ecosistema del Ministerio de Seguridad del Estado (MSS) chino, conocido por operaciones cibernéticas alineadas con intereses estratégicos de Beijing.
Análisis técnico revela que los atacantes combinan la explotación de SharePoint con:
- Web shells personalizados para acceso persistente
- Técnicas 'living-off-the-land' usando herramientas administrativas nativas
- Movimiento lateral mediante credenciales comprometidas
Microsoft publicó actualizaciones de seguridad fuera de ciclo el 22 de julio tras descubrir la explotación activa. Su equipo de inteligencia advierte que servidores SharePoint sin parches siguen vulnerables a toma de control total, especialmente aquellos expuestos a internet.
Expertos destacan tres aspectos preocupantes:
- La vulnerabilidad fue explotada silenciosamente durante meses antes de su detección
- Los atacantes mostraron conocimiento profundo de SharePoint
- La escala global y objetivos gubernamentales indican recolección estratégica de inteligencia
Recomendaciones para organizaciones:
- Aplicar parches inmediatamente en todas las implementaciones de SharePoint
- Segmentación de redes para datos sensibles
- Monitoreo reforzado de actividad inusual en SharePoint
- Rotación de credenciales administrativas
El incidente marca otra escalada en operaciones cibernéticas chinas contra objetivos occidentales, tras campañas similares explotando vulnerabilidades en Exchange Server en 2021. Analistas sugieren que esto podría impulsar mayor escrutinio de software empresarial en infraestructura crítica.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.