Η Microsoft συνδέει τις επιθέσεις στο SharePoint με Κινέζους χάκερ. Η Microsoft απέδωσε επίσημα την εκτεταμένη εκμετάλλευση μιας αλυσίδας zero-day στο SharePoint, με την ονομασία ToolShell, σε κινεζικές ομάδες hacking που συνδέονται με το κράτος, συμπεριλαμβανομένων των Linen Typhoon, Violet Typhoon και Storm-2603 . Οι επιθέσεις έχουν στοχεύσει διακομιστές SharePoint εσωτερικής εγκατάστασης σε πολλούς τομείς . Έχουν κυκλοφορήσει ενημερώσεις κώδικα έκτακτης ανάγκης, αλλά με μια δημόσια και ενεργή εκμετάλλευση proof-of-concept, η CISA έχει εκδώσει επείγουσες οδηγίες μετριασμού για τους οργανισμούς που έχουν επηρεαστεί .
Τουλάχιστον δύο κινεζικές κρατικές ομάδες απειλών στοχεύουν διακομιστές SharePoint που είναι συνδεδεμένοι στο Διαδίκτυο μέσω πολλών ευπαθειών που αποκαλύφθηκαν πρόσφατα, προειδοποίησε η Microsoft τους πελάτες την Τρίτη . Εκτός από τις δύο επιβεβαιωμένες κρατικές ομάδες - που προσδιορίζονται ως Linen Typhoon και Violet Typhoon - η Microsoft είπε ότι βρήκε μια άλλη ομάδα με έδρα την Κίνα να επιτίθεται σε διακομιστές SharePoint . Η απόδοση ακολουθεί μια επείγουσα ειδοποίηση σχετικά με τους παράγοντες απειλών που εκμεταλλεύονται ευπάθειες σε περιπτώσεις Microsoft SharePoint εσωτερικής εγκατάστασης, τις οποίες χιλιάδες οργανισμοί παγκοσμίως χρησιμοποιούν για τη διαχείριση περιεχομένου, τη συνεργασία και την κοινή χρήση εγγράφων .
Οι σφάλματα που χρησιμοποιούνται στην εκστρατεία κατά των εκτεθειμένων διακομιστών SharePoint περιλαμβάνουν τα CVE-2025-49706 και CVE-2025-49704 . Η Microsoft προειδοποίησε επίσης για δύο άλλες ευπάθειες - CVE-2025-53770 και CVE-2025-53771 - που ενέχουν πιθανό κίνδυνο, επειδή παρακάμπτουν προηγούμενες ενημερώσεις κώδικα των CVE-2025-49706 και CVE-2025-49704 . Τη Δευτέρα, ο Charles Carmakal, CTO της Google, δήλωσε ότι ένας «παράγοντας απειλής που συνδέεται με την Κίνα» είναι ένας από τους πολλούς εισβολείς που στοχεύουν τις ευπάθειες . «Είναι σημαντικό να κατανοήσουμε ότι πολλοί παράγοντες εκμεταλλεύονται ενεργά αυτήν την ευπάθεια», είπε ο Carmakal .
Η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα νωρίτερα αυτόν τον μήνα, αλλά οι χάκερ βρήκαν γρήγορα έναν τρόπο να παρακάμψουν τις επιδιορθώσεις . Η Microsoft δήλωσε ότι οι παράγοντες απειλής Linen Typhoon και Violet Typhoon, καθώς και μια τρίτη κινεζική ομάδα, εκμεταλλεύονται τα CVE-2025-49706 και CVE-2025-49704 από τις 7 Ιουλίου, χρησιμοποιώντας τα σφάλματα για να αποκτήσουν πρόσβαση σε οργανισμούς . Η Linen Typhoon, που παρακολουθείται επίσης ως APT27, UNC215 και Red Phoenix, είναι ενεργή από το 2012, ανέφερε η εταιρεία, και έχει επικεντρωθεί κυρίως στην κλοπή πνευματικής ιδιοκτησίας επιτιθέμενη σε κυβερνητικούς οργανισμούς καθώς και σε αμυντικές εταιρείες και ομάδες ανθρωπίνων δικαιωμάτων .
Η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για μια ενεργά εκμεταλλευόμενη ευπάθεια ασφαλείας στο SharePoint και αποκάλυψε επίσης λεπτομέρειες για μια άλλη ευπάθεια που είπε ότι έχει αντιμετωπιστεί με «πιο ισχυρές προστασίες» . Ο τεχνολογικός γίγαντας αναγνώρισε ότι «γνωρίζει ενεργές επιθέσεις που στοχεύουν πελάτες SharePoint Server εσωτερικής εγκατάστασης εκμεταλλευόμενοι ευπάθειες που αντιμετωπίζονται εν μέρει από την Ιουλιανή Ενημέρωση Ασφαλείας» . Το CVE-2025-53770 (βαθμολογία CVSS: 9,8), όπως παρακολουθείται η εκμεταλλευόμενη ευπάθεια, αφορά μια περίπτωση απομακρυσμένης εκτέλεσης κώδικα που προκύπτει λόγω της αποσειριοποίησης μη αξιόπιστων δεδομένων σε εκδόσεις εσωτερικής εγκατάστασης του Microsoft SharePoint Server . Η νέα αποκάλυψη είναι ένα σφάλμα πλαστογράφησης στο SharePoint (CVE-2025-53771, βαθμολογία CVSS: 7,1) .