Microsoft atribuye a grupos de 'hackers' chinos los ataques a la vulnerabilidad identificada en SharePoint Server

Microsoft ha compartido que ha identificado a grupos de 'hackers' respaldados por China, como Linen Typhoon y Violet Typhoon, explotando la vulnerabilidad recientemente descubierta en SharePoint Server, con lo que están atacando a servidores de este servicio afectando a organizaciones a nivel global.

La tecnológica alertó el pasado sábado de una vulnerabilidad hallada en su plataforma para almacenar y compartir documentos internos entre empresas, SharePoint Server, y detalló que había identificado ataques activos dirigidos contra clientes locales de este servicio a nivel global.

En concreto, se trata de una vulnerabilidad de día cero recogida como CVE-2025-53770 y CVE-2025-53771, que permite a actores maliciosos robar las claves digitales privadas de los servidores de SharePoint sin necesidad de iniciar sesión y, con ello, suplantar la identidad de los usuarios o servicios. Una vez dentro, los ciberdelincuentes pueden instalar 'malware' para el robo de información de forma remota.

Ahora, Microsoft ha compartido que ha identificado a varios grupos de 'hackers' asociados al Estado Chino, denominados como Linen Typhoon y Violet Typhoon, que han estado explotando esta vulnerabilidad de día cero de SharePoint.

La compañía ha detallado igualmente que también han identificado a un actor de amenazas con sede en China, identificado como Storm-2603, explotando estas vulnerabilidades, y que continúan investigando la participación de otros actores maliciosos que también están utilizando estos 'exploits'.

Como ha detallado en un comunicado en su blog, el grupo Linen Typhoon centra en el robo de propiedad intelectual de las organizaciones a las que ataca, mientras que Violet Typhoon destina sus ataques al robo de información privada para espionaje.

Según han podido conocer los investigadores de ciberseguridad de Microsoft, estos grupos de 'hackers' comenzaron a explotar la vulnerabilidad de SharePoint Server a partir del día 7 de julio.

Cabe destacar que la compañía lanzó este lunes parches de seguridad para mitigar la amenaza en las versiones SharePoint Subscription Edition y SharePoint 2019, y ha ampliado este martes las actualizaciones de seguridad para todas las versiones compatibles de SharePoint Server locales, tal y como ha compartido en una publicación en X.

Con todo, Microsoft ha recomendado que los clientes utilicen las versiones de los servidores SharePoint locales con "las últimas actualizaciones de seguridad" para evitar que los ataques no autenticados aprovechen esta vulnerabilidad.