Equipes de resposta a incidentes identificaram invasões em agências governamentais, operadoras de telecomunicações e universidades em diversos países a partir da exploração da vulnerabilidade Shell de ferramentasdescoberta em julho.
Campanha encerrada CVE-2025-53770 amplia impacto global
Especialistas da Symantec e da Carbon Black Threat Hunter Team rastrearam diversos incidentes relacionados ao CVE-2025-53770, vulnerabilidade que causou grande preocupação no mercado quando a Microsoft alertou clientes do SharePoint on-premises que três grupos oriundos da China estavam explorando. Dezenas de governos e grandes empresas utilizam o SharePoint, especialmente para gerenciar intranets e fluxos de trabalho internos.
A Symantec e a Carbon Black identificaram incidentes em uma operadora de telecomunicações do Oriente Médio logo após o anúncio da falha. Em seguida, foram descobertas descobertas em dois órgãos governamentais de um país africano, dois órgãos da América do Sul e de uma universidade norte-americana. Outras declarações sugerem comprometimento em uma agência de tecnologia do estado africano, um departamento do governo no Oriente Médio e uma financeira europeia.
Uso de malware conhecido e ferramentas legítimas
Após obter acesso, os leitores receberam diferentes malwares previamente atribuídos a grupos chineses, como Zingdoor, ShadowPad, KrustyLoader, entre outros. O Zingdoor foi encontrado em três ambientes de vítimas, sendo um backdoor usado por grupos famosos de origem chinesa, como Famous Sparrow e Earth Estries. O malware permite a coleta de informações do sistema, upload de arquivos e transferência lateral na rede comprometida.
O KrustyLoader foi relacionado a ataques de um grupo que também explorava falhas em produtos da Ivanti, enquanto ferramentas legítimas como Sliver, Certutil e GoGo Scanner foram observadas em diversas invasões.
Escopo do ataque aponta para espionagem e persistência
O grande número de vítimas reforça as hipóteses de campanha de varredura em massa pela falha do ToolShell, seguida de movimentos direcionados nas redes de interesse. Atividades detectadas em ambientes comprometidos indicam interesse na obtenção de credenciais e no estabelecimento de acesso furtivo e persistente, com objetivo frequentemente ligado à espionagem.
A Microsoft já havia confirmado que dois agentes estatais chineses — Linen Typhoon e Violet Typhoon — exploravam uma falha. Ambos possuem histórico de mais de uma década em operações de espionagem e roubo de propriedade intelectual.
Warlock ransomware destaca novo perfil da ameaça
Em abril, a Microsoft também atribuiu ataques a um terceiro grupo chinês, então não identificado, utilizando o ToolShell para distribuir o ransomware Warlock, cuja primeira detecção ocorreu em junho de 2025. Os pesquisadores apontam ligações do Warlock com o AnyLock ransomware, além de possíveis vínculos com LockBit e Black Basta.
Ferramentas e táticas empregadas no ransomware sugerem que parte do grupo opera desde 2019, atuando tanto em espionagem como em ataques de extorsão digital. Autoridades americanas e empresas do setor já alertaram para o uso de ransomware por atores chineses como camuflagem para atividades de espionagem ou roubo de dados, ampliando a complexidade das operações e dos riscos globais.
