Китайские хакеры использовали недостаток Microsoft SharePoint, чтобы нарушить глобальные организации, используя множество видов и методов вредоносных программ. Chinese hackers exploited a Microsoft SharePoint flaw to breach global organizations, using multiple malware types and techniques.

Китайские хакеры, связанные с государством, использовали неотпечатанную уязвимость Microsoft SharePoint CVE-2025-53770, также известная как ToolShell, для нарушения правительственных учреждений, телекоммуникационных провайдеров, университетов и финансовых учреждений в Северной Америке, Южной Америке, Африке и на Ближнем Востоке. Chinese state-linked hackers exploited the unpatched Microsoft SharePoint vulnerability CVE-2025-53770, also known as ToolShell, to breach government agencies, telecom providers, universities, and financial institutions across North America, South America, Africa, and the Middle East. Дефект, обнаруженный в июле 2025 года, позволил осуществить дистанционный код и был использован в качестве нулевого дня перед восстановлением. The flaw, patched in July 2025, allowed remote code execution and was used as a zero-day before remediation. Нападавшие использовали вредоносное программное обеспечение, включая Zingdor, ShadowPad и KrustyLoader, использовали аппаратуру DLL, используя для этого законные инструменты, а также задействовали технологии, используемые для того, чтобы избежать обнаружения. Attackers deployed malware including Zingdoor, ShadowPad, and KrustyLoader, used DLL sideloading with legitimate tools, and leveraged living-off-the-land techniques to evade detection. В скоординированной кампании участвовали многочисленные китайские кибер-группы, в том числе Salt Tyfoon, Linen Tyfoon и Violet Tyfoon, что свидетельствует о сотрудничестве и совместном использовании инструментов. Multiple Chinese cyber groups, including Salt Typhoon, Linen Typhoon, and Violet Typhoon, were involved in a coordinated campaign, with evidence of collaboration and shared tools. КИСА США добавила уязвимость к своему каталогу известных эксплуатируемых факторов уязвимости, настоятельно призвав к срочному исправлению для уменьшения текущих рисков. The U.S. CISA added the vulnerability to its Known Exploited Vulnerabilities catalog, urging urgent patching to mitigate ongoing risks.