Bedreigingsactoren met banden met China maakten misbruik van de ToolShell beveiligingsprobleem in Microsoft SharePoint om inbreuk te maken op een telecommunicatiebedrijf in het Midden-Oosten nadat het in juli 2025 openbaar werd gemaakt en gepatcht.
Ook waren overheidsdepartementen in een Afrikaans land het doelwit, evenals overheidsinstanties in Zuid-Amerika, een universiteit in de VS, evenals waarschijnlijk een staatstechnologiebureau in een Afrikaans land, een overheidsdepartement in het Midden-Oosten en een financieringsmaatschappij in een Europees land.
Volgens het Symantec Threat Hunter-team van Broadcom hadden de aanvallen betrekking op de exploitatie van CVE-2025-53770, een inmiddels gepatcht beveiligingslek in lokale SharePoint-servers dat kan worden gebruikt om authenticatie te omzeilen en externe code-uitvoering te bewerkstelligen.
CVE-2025-53770, beoordeeld als een patch-bypass voor CVE-2025-49704 en CVE-2025-49706, is door drie Chinese dreigingsgroepen bewapend als een zero-day, waaronder Linen Typhoon (ook bekend als Budworm), Violet Typhoon (ook bekend als Sheathminer) en Storm-2603, waarvan de laatste verband houdt met de inzet van Warlock-, LockBit- en Babuk-ransomwarefamilies in de afgelopen maanden.
De laatste bevindingen van Symantec geven echter aan dat een veel breder scala aan Chinese dreigingsactoren de kwetsbaarheid heeft misbruikt. Dit geldt ook voor de hackgroep Salt Typhoon (ook bekend als Glowworm), die naar verluidt gebruik heeft gemaakt van de ToolShell-fout om tools als Zingdoor, ShadowPad en KrustyLoader in te zetten tegen de telecomentiteit en de twee overheidsinstanties in Afrika.
KrustyLoader, voor het eerst uitgewerkt door Synacktiv in januari 2024, is een op Rust gebaseerde lader die eerder werd gebruikt door een Chinese nexus-spionagegroep genaamd UNC5221 bij aanvallen waarbij gebruik werd gemaakt van fouten in Ivanti Endpoint Manager Mobile (EPMM) en SAP NetWeaver.
De aanvallen gericht op overheidsinstanties in Zuid-Amerika en een universiteit in de VS omvatten daarentegen het gebruik van niet-gespecificeerde kwetsbaarheden om initiële toegang te verkrijgen, gevolgd door de exploitatie van SQL-servers en Apache HTTP-servers waarop de Adobe ColdFusion-software draait om de kwaadaardige ladingen af te leveren met behulp van DLL-side-loading-technieken.
Bij sommige van de incidenten is waargenomen dat de aanvallers een exploit uitvoerden voor CVE-2021-36942 (ook bekend als PetitPotam) voor escalatie van privileges en domeincompromis, samen met een aantal direct beschikbare en living-off-the-land (LotL) tools om het scannen, downloaden van bestanden en diefstal van inloggegevens op de geïnfecteerde systemen te vergemakkelijken.
“Er is enige overlap in de soorten slachtoffers en sommige van de gebruikte tools tussen deze activiteit en de activiteit die eerder aan Glowworm werd toegeschreven”, aldus Symantec. “We hebben echter niet voldoende bewijsmateriaal om deze activiteit met zekerheid toe te schrijven aan één specifieke groep, hoewel we wel kunnen zeggen dat al het bewijsmateriaal erop wijst dat degenen die erachter zitten in China gevestigde dreigingsactoren zijn.”
“De activiteit die op gerichte netwerken werd uitgevoerd, geeft aan dat de aanvallers geïnteresseerd waren in het stelen van inloggegevens en in het tot stand brengen van aanhoudende en heimelijke toegang tot slachtoffernetwerken, waarschijnlijk met spionagedoeleinden.”
