Google y Microsoft han informado que hackers chinos están explotando una vulnerabilidad (zero-day) en SharePoint.
Créditos de la imagen: ilkaydede / Getty Images (La imagen ha sido modificada)
Investigadores de seguridad de Google y Microsoft afirman que tienen pruebas de que hackers respaldados por China están explotando un bug de cero día en Microsoft SharePoint, mientras que las empresas de todo el mundo se apresuran a parchear la vulnerabilidad.
El bug, conocido oficialmente como CVE-2025-53770 y descubierto el pasado fin de semana, permite a los hackers robar claves privadas sensibles de versiones autohospedadas de SharePoint, un servidor de software ampliamente utilizado por empresas y organizaciones para almacenar y compartir documentos internos. Una vez explotado, un atacante puede usar el bug para plantar malware de forma remota y acceder a los archivos y datos almacenados, así como a otros sistemas en la misma red.
En un artículo de blog publicado el martes, Microsoft indicó que había observado a al menos dos grupos de hacking respaldados por China, denominados “Linen Typhoon” y “Violet Typhoon”, explotando el bug de cero día de SharePoint. Microsoft afirma que Linen Typhoon se centra en el robo de propiedad intelectual, mientras que Violet Typhoon roba información privada para usarla en espionaje.
Microsoft también atribuyó los ataques continuos a un tercer grupo de hacking respaldado por China al que denominó “Storm-2603”, representando un grupo de hacking del que la empresa tiene menos información. La empresa señaló, sin embargo, que los hackers han estado vinculados a ataques de ransomware en el pasado.
Según Microsoft, los tres grupos de hacking fueron observados explotando la vulnerabilidad de cero día para acceder a servidores vulnerables de SharePoint desde al menos el 7 de julio.
Charles Carmakal, el jefe de tecnología de la unidad de respuesta a incidentes de Google Mandiant, le dijo a TechCrunch en un correo electrónico que “al menos uno de los actores responsables” era un grupo de hacking con nexos en China, pero señaló que “varios actores están explotando activamente esta vulnerabilidad”.
Decenas de organizaciones ya han sido hackeadas, incluyendo en el sector gubernamental. El bug, considerado un bug de cero día, porque el proveedor — Microsoft, en este caso — no tuvo tiempo de emitir un parche antes de que fuera explotado activamente. Microsoft ha desarrollado parches para todas las versiones afectadas de SharePoint, pero los investigadores de seguridad han advertido a los clientes que ejecutan versiones autohospedadas de SharePoint que asuman que ya han sido comprometidos.
Un portavoz de la Embajada china en Washington D.C. no respondió inmediatamente a una solicitud de comentarios. El gobierno chino ha negado repetidamente las acusaciones de que ha llevado a cabo ataques cibernéticos, aunque no siempre ha negado explícitamente su participación.
Este es el último ataque cibernético vinculado a China en los últimos años. Hackers respaldados por China fueron acusados de atacar servidores de correo electrónico autohospedados de Microsoft Exchange en 2021 como parte de una campaña de hacking masivo. Según una indictación reciente del Departamento de Justicia que acusa a dos hackers chinos de haber orquestado los ataques, los conocidos como “Hafnium” comprometieron información de contacto y buzones de correo de más de 60,000 servidores afectados.