Hackers estatales chinos explotan zero-day en SharePoint en oleada de ciberataques globales

Una campaña de ciberataques generalizada que explota una vulnerabilidad previamente desconocida en Microsoft SharePoint ha comprometido múltiples objetivos de alto perfil, incluyendo agencias vinculadas al programa de armas nucleares de EE.UU. El equipo de Threat Intelligence de Microsoft atribuye con alta confianza los ataques a grupos de hackers patrocinados por el estado chino, citando patrones distintivos en técnicas e infraestructura.

La vulnerabilidad zero-day, identificada como CVE-2025-XXXXX, permite ejecución remota de código mediante peticiones especialmente diseñadas a servidores SharePoint. Los atacantes aprovecharon este fallo para establecer acceso persistente en redes objetivo antes de moverse lateralmente hacia sistemas sensibles. La campaña parece enfocada en recolección de inteligencia, con víctimas que abarcan agencias gubernamentales, contratistas de defensa y operadores de infraestructura crítica en Norteamérica, Europa y regiones de Asia-Pacífico.

Microsoft lanzó una actualización de seguridad de emergencia tras detectar la explotación activa. El aviso de la compañía indica que la explotación exitosa no requiere autenticación, haciendo que sistemas sin parches sean extremadamente vulnerables. Evidencia forense sugiere que los atacantes mantuvieron acceso a redes durante semanas en algunos casos, usando técnicas sofisticadas para evadir detección mientras exfiltraban datos.

Este incidente resalta crecientes preocupaciones sobre actores estatales apuntando a plataformas de colaboración empresarial como vectores de ataque. El papel central de SharePoint en gestión documental y comunicaciones internas lo convierte en un objetivo de alto valor para operaciones de ciberespionaje. Analistas de seguridad advierten que vulnerabilidades similares en otras herramientas de colaboración podrían enfrentar mayor escrutinio de parte de actores maliciosos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha añadido esta vulnerabilidad a su Catálogo de Vulnerabilidades Explotadas Conocidas, exigiendo que agencias federales apliquen parches inmediatamente. Organizaciones del sector privado que manejan contratos gubernamentales sensibles u operaciones de infraestructura crítica deben priorizar la remediación dado el contexto geopolítico del ataque y su impacto demostrado.