Microsoft ha recentemente confermato che le vulnerabilità presenti nelle istanze SharePoint Server esposte su internet sono state sfruttate da almeno tre gruppi di hacker cinesi. Questi gruppi, denominati Linen Typhoon, Violet Typhoon e Storm-2603, sono riusciti a compromettere sistemi non aggiornati attraverso exploit che permettono l’esecuzione di codice e il furto di dati sensibili.

Linen Typhoon, Violet Typhoon e Storm-2603

Linen Typhoon, noto anche come APT27, è attivo dal 2012 ed è associato a diverse famiglie di malware come SysUpdate, HyperBro e PlugX. Violet Typhoon, conosciuto anche come APT31, agisce dal 2015 e ha preso di mira Stati Uniti, Finlandia e Repubblica Ceca. Il terzo gruppo, Storm-2603, è stato recentemente collegato alla diffusione dei ransomware Warlock e LockBit.

Vulnerabilità sfruttate e modalità d’attacco

Le vulnerabilità sfruttate coinvolgono server SharePoint on-premises e sono legate a correzioni incomplete per due CVE: CVE-2025-49706, una falla di spoofing, e CVE-2025-49704, un bug di esecuzione di codice remoto. I nuovi bypass sono stati identificati come CVE-2025-53771 e CVE-2025-53770. Gli attacchi avvengono tramite una richiesta POST all’endpoint ToolPane, che consente agli attaccanti di aggirare l’autenticazione ed eseguire codice sul server vulnerabile.

Una volta ottenuto l’accesso, i cybercriminali installano una web shell chiamata “spinstall0.aspx” (con possibili varianti nel nome), che consente di esfiltrare dati sensibili come i MachineKey, fondamentali per la sicurezza delle applicazioni ASP.NET. Analisi forensi hanno rilevato che la web shell utilizza meccanismi di mimetizzazione del traffico, sfruttando il Client Update Protocol di Google per confondersi con i normali aggiornamenti del browser e sfuggire ai controlli di sicurezza.

Raccomandazioni di sicurezza

Per mitigare il rischio, Microsoft raccomanda di applicare immediatamente gli ultimi aggiornamenti a SharePoint Server Subscription Edition, SharePoint Server 2019 e 2016. È fondamentale ruotare le machine key ASP.NET, riavviare i servizi IIS e implementare soluzioni di protezione come Microsoft Defender for Endpoint. Viene inoltre suggerita l’integrazione dell’Antimalware Scan Interface (AMSI) e l’abilitazione della modalità completa di scansione.

Microsoft avverte che altri gruppi potrebbero adottare rapidamente questi exploit, sottolineando l’urgenza di aggiornare e proteggere tutti i server SharePoint esposti. Non è la prima volta che attori legati a Pechino bersagliano le infrastrutture Microsoft: già nel 2021 il gruppo Silk Typhoon aveva sfruttato vulnerabilità zero-day in Exchange Server, mentre recentemente un cittadino cinese è stato arrestato in Italia per attacchi legati alle falle ProxyLogon.