Microsoft vincula ataques a vulnerabilidades de SharePoint con grupos APT chinos Linen Typhoon y Violet Typhoon
## Introducción
El equipo de inteligencia de amenazas de Microsoft ha confirmado la explotación activa de vulnerabilidades en servidores SharePoint expuestos a Internet por parte de los grupos de ciberespionaje chinos conocidos como Linen Typhoon (también identificado como APT31, Zirconium) y Violet Typhoon (APT15, Ke3chang), desde el 7 de julio de 2025. Además, se ha detectado la implicación de un tercer actor de amenazas, Storm-2603, también de origen chino. El uso continuado de estas vulnerabilidades pone en jaque la seguridad de numerosas organizaciones, especialmente aquellas que dependen de SharePoint Server para la colaboración interna y externa.
## Contexto del Incidente
Desde principios de 2025, diversas fuentes habían alertado sobre el incremento de intentos de explotación de vulnerabilidades críticas en instancias de SharePoint Server accesibles desde Internet. Sin embargo, Microsoft ha sido la primera entidad en atribuir formalmente la autoría de los ataques a grupos APT chinos con historial en operaciones de ciberespionaje a escala global.
Tanto Linen Typhoon como Violet Typhoon han sido asociados previamente con campañas de infiltración dirigidas a sectores gubernamentales, defensa, tecnología y servicios críticos. El objetivo principal de estos grupos reside en la obtención de acceso inicial a redes corporativas para el robo de información sensible, espionaje industrial y, en algunos casos, la preparación de ataques de mayor impacto.
## Detalles Técnicos
Las vulnerabilidades explotadas corresponden a fallos críticos en SharePoint Server, incluyendo, entre otras, CVE-2023-29357 (elevación de privilegios) y CVE-2023-24955 (ejecución remota de código autenticada). Ambas permiten a un atacante ejecutar código arbitrario en el servidor afectado, comprometiendo la infraestructura interna de la organización.
### Vectores de Ataque
Los atacantes han aprovechado servidores expuestos sin los últimos parches de seguridad, utilizando técnicas de explotación conocidas que permiten obtener acceso inicial y posteriormente moverse lateralmente en la red comprometida. En varios casos, se ha observado el uso de frameworks como Cobalt Strike y China Chopper para establecer persistencia y control remoto.
Los TTPs identificados se corresponden con los siguientes identificadores del framework MITRE ATT&CK:
– **Initial Access (T1190)**: Explotación de aplicaciones públicas.
– **Execution (T1059.001)**: Uso de scripts PowerShell para la ejecución de payloads.
– **Persistence (T1505.003)**: Backdoors en servicios web.
– **Defense Evasion (T1070.004)**: Borrado de logs y artefactos temporales.
### Indicadores de Compromiso (IoC)
Microsoft ha publicado una serie de IoCs relevantes, entre los que destacan:
– Hashes de archivos maliciosos relacionados con webshells.
– Direcciones IP de infraestructura de mando y control (C2) asociadas a los grupos chinos.
– Rutas de acceso anómalas en logs de IIS y SharePoint.
## Impacto y Riesgos
La explotación de estas vulnerabilidades ha permitido a los atacantes acceder a información confidencial, credenciales internas y datos de clientes, comprometiendo la confidencialidad, integridad y disponibilidad de los sistemas afectados. El alcance es significativo: se estima que en torno al 37% de instancias SharePoint Server públicas no estaban parcheadas al inicio de la campaña, según datos de Shodan y Censys.
El impacto económico potencial es sustancial, considerando los costes asociados a la respuesta a incidentes, interrupciones de servicio, sanciones regulatorias bajo GDPR y NIS2, y la posible pérdida de propiedad intelectual.
## Medidas de Mitigación y Recomendaciones
– **Patching inmediato**: Aplicar sin demora los parches de seguridad publicados por Microsoft, especialmente para CVE-2023-29357 y CVE-2023-24955.
– **Exposición mínima**: Limitar la exposición de instancias de SharePoint Server a Internet, empleando VPN o segmentación de red.
– **Monitorización proactiva**: Revisar logs de acceso y actividad sospechosa en los servidores, priorizando la detección de webshells y conexiones C2.
– **Implementación de EDR**: Desplegar soluciones de detección y respuesta en endpoints capaces de identificar patrones de ataque conocidos (Cobalt Strike, China Chopper).
– **Análisis de IoCs**: Correlacionar los IoCs publicados con los propios sistemas para identificar posibles compromisos históricos.
## Opinión de Expertos
Analistas de amenazas de empresas como Mandiant y CrowdStrike coinciden en que la rápida explotación de vulnerabilidades en plataformas ampliamente desplegadas como SharePoint demuestra la profesionalización y recursos de los grupos APT chinos. Según Javier González, CISO de una multinacional tecnológica, “la ventana entre la publicación de un parche y su explotación activa se ha reducido a cuestión de horas; las organizaciones deben priorizar la gestión de vulnerabilidades críticas y adoptar una actitud proactiva”.
## Implicaciones para Empresas y Usuarios
El incidente pone de manifiesto la importancia de una gestión de parches rigurosa y una exposición controlada de servicios críticos. Las organizaciones sujetas a GDPR o NIS2 están obligadas a notificar brechas de seguridad significativas y pueden enfrentarse a sanciones si se demuestra negligencia en la protección de datos personales. Los usuarios finales pueden verse afectados indirectamente si sus datos se ven comprometidos a través de estos ataques.
## Conclusiones
La atribución formal de Microsoft sitúa a Linen Typhoon, Violet Typhoon y Storm-2603 en el epicentro de las campañas de explotación contra SharePoint Server. La sofisticación de los TTPs empleados y la rapidez en la explotación refuerzan la necesidad de estrategias de defensa en profundidad, una gestión de vulnerabilidades ágil y una vigilancia continua sobre servicios expuestos. El incidente subraya la urgencia de que las organizaciones revisen sus políticas de seguridad y refuercen la protección de sus activos críticos frente a actores estatales avanzados.
(Fuente: feeds.feedburner.com)