Chinesische Hackergruppen nutzen SharePoint-Sicherheitslücke trotz verfügbarem Patch
Mehrere chinesische Bedrohungsakteure haben eine im Juli 2025 gepatchte Schwachstelle in Microsoft SharePoint ausgenutzt, um weltweit Regierungen, Telekommunikationsunternehmen und Bildungseinrichtungen anzugreifen.
Laut dem Symantec Threat Hunter Team von Broadcom sollen die Angreifer die Sicherheitslücke CVE-2025-53770 in lokalen SharePoint-Servern missbraucht haben, um Authentifizierung zu umgehen und Code aus der Ferne auszuführen. Die Schwachstelle, die als Patch-Bypass für CVE-2025-49704 und CVE-2025-49706 gilt, war bereits vor der Veröffentlichung des Patches von drei chinesischen Gruppen als Zero-Day ausgenutzt worden: Linen Typhoon (Budworm), Violet Typhoon (Sheathminer) und Storm-2603.
Telekommunikation und Behörden im Fokus
Die aktuellen Angriffe richteten sich gegen ein Telekommunikationsunternehmen im Nahen Osten, Regierungsabteilungen in einem afrikanischen Land sowie Regierungsbehörden in Südamerika und eine Universität in den USA. Weitere wahrscheinliche Ziele waren laut Symantec eine staatliche Technologieagentur in einem afrikanischen Land, eine Regierungsabteilung im Nahen Osten und ein Finanzunternehmen in einem europäischen Land.
Bei den Angriffen auf das Telekommunikationsunternehmen und die afrikanischen Regierungsbehörden soll die Hackergruppe Salt Typhoon (Glowworm) die ToolShell-Schwachstelle genutzt haben, um Werkzeuge wie Zingdoor, ShadowPad und KrustyLoader einzusetzen. KrustyLoader, ein auf Rust basierender Loader, wurde erstmals im Januar 2024 von Synacktiv beschrieben und war zuvor von der Spionagegruppe UNC5221 bei Angriffen auf Schwachstellen in Ivanti Endpoint Manager Mobile (EPMM) und SAP NetWeaver verwendet worden.
Komplexe Angriffsketten mit verschiedenen Einstiegspunkten
Bei den Angriffen auf südamerikanische Regierungsbehörden und die US-Universität nutzten die Angreifer laut Symantec zunächst nicht näher spezifizierte Sicherheitslücken für den initialen Zugriff. Anschließend kompromittierten sie SQL-Server und Apache-HTTP-Server mit Adobe ColdFusion-Software, um schädliche Nutzdaten mittels DLL-Sideloading-Techniken zu platzieren.
In mehreren Fällen setzten die Angreifer einen Exploit für CVE-2021-36942 (PetitPotam) ein, um Rechte auszuweiten und Domänen zu kompromittieren. Zusätzlich verwendeten sie leicht verfügbare Tools und „Living-off-the-land“-Werkzeuge (LotL) für Netzwerk-Scans, Datei-Downloads und den Diebstahl von Anmeldeinformationen auf infizierten Systemen.
Zuordnung zu chinesischen Akteuren wahrscheinlich
Symantec berichtet von Überschneidungen bei Opfertypen und eingesetzten Werkzeugen mit früheren Aktivitäten der Gruppe Glowworm. Das Unternehmen verfüge jedoch nicht über ausreichende Beweise für eine eindeutige Zuordnung zu einer bestimmten Gruppe. Alle Indizien deuteten aber darauf hin, dass es sich um in China ansässige Bedrohungsakteure handle.
Die in den Zielnetzwerken beobachteten Aktivitäten lassen laut Symantec darauf schließen, dass die Angreifer Anmeldeinformationen stehlen und sich dauerhaft sowie heimlich Zugang zu den Netzwerken der Opfer verschaffen wollten – wahrscheinlich zu Spionagezwecken. Storm-2603 wird zudem mit der Verbreitung der Ransomware-Familien Warlock, LockBit und Babuk in den letzten Monaten in Verbindung gebracht.