Hackers supostamente ligados à China expandiram seus ataques explorando a vulnerabilidade crítica ToolShell (CVE-2025-53770) no Microsoft SharePoint, atingindo organizações estratégicas em quatro continentes, incluindo a América do Sul.
Um novo relatório da Symantec, divulgado nesta quarta-feira (22), detalha como múltiplos grupos de ameaças, incluindo o Salt Typhoon, comprometeram agências governamentais, universidades e provedores de telecomunicações em uma campanha altamente sofisticada.
Embora a falha ToolShell SharePoint tenha sido corrigida pela Microsoft em julho, as descobertas da Symantec mostram que a exploração foi mais ampla e coordenada do que se acreditava. O relatório revela uma cadeia de ataque multicamadas, combinando técnicas avançadas como sideloading de DLLs, uso de backdoors em Go e frameworks de pós-exploração para manter persistência e roubar credenciais.
O que é a vulnerabilidade ToolShell (CVE-2025-53770)
A vulnerabilidade ToolShell (CVE-2025-53770) afeta servidores SharePoint locais (on-premises), permitindo que invasores executem código remoto (RCE) sem a necessidade de autenticação.
De acordo com a Symantec, a falha representa um bypass para vulnerabilidades anteriores (CVE-2025-49706 e CVE-2025-49704), exploradas inicialmente em ataques de dia zero (zero-day) antes da liberação do patch oficial.
Na prática, a falha permite que um atacante não autenticado carregue e execute comandos arbitrários no servidor vulnerável, abrindo caminho para o plantio de webshells e a instalação de malwares de persistência. Em julho, a Microsoft lançou uma atualização emergencial após detectar exploração ativa em ambientes corporativos.
As novas descobertas da Symantec: Salt Typhoon entra em cena
O relatório divulgado hoje pela Symantec — braço de segurança da Broadcom — confirma que a vulnerabilidade ToolShell SharePoint foi usada por um conjunto mais amplo de grupos de hackers chineses do que o inicialmente relatado pela Microsoft.
Antes, apenas três atores haviam sido ligados à exploração da falha (como Budworm e Sheathminer). Agora, as investigações apontam também para o Salt Typhoon, um grupo de ameaça avançada (APT) conhecido por campanhas de espionagem cibernética e roubo de dados estratégicos em governos e empresas de infraestrutura crítica.
Alvos identificados no novo relatório
O documento da Symantec destaca uma lista de alvos distribuídos globalmente:
- Um provedor de telecomunicações no Oriente Médio;
- Agências governamentais na África e América do Sul;
- Uma universidade nos Estados Unidos;
- Uma empresa financeira europeia.
Os TTPs (técnicas, táticas e procedimentos) empregados correspondem fortemente ao perfil operacional do Salt Typhoon, sugerindo cooperação entre múltiplos grupos APT chineses que compartilham infraestrutura e ferramentas.
Anatomia do ataque: uma cadeia de infecção sofisticada
O relatório da Symantec reconstrói a cadeia de ataque usada pelos invasores, revelando um processo altamente modular e furtivo, que combinou malwares personalizados e ferramentas legítimas para evadir detecção.
Passo 1: O webshell e o backdoor Zingdoor
O ponto de entrada inicial foi a exploração da CVE-2025-53770, permitindo que os invasores implantassem webshells em servidores SharePoint comprometidos. Esses webshells forneciam um canal persistente para o controle remoto dos sistemas.
Em seguida, os atacantes realizaram sideloading (carregamento lateral) de uma DLL maliciosa, disfarçada dentro de um aplicativo legítimo, para instalar o backdoor Zingdoor — um malware desenvolvido em Go.
O Zingdoor foi usado para coletar informações do sistema, executar comandos arbitrários e preparar o ambiente para estágios mais avançados da infecção.
Passo 2: ShadowPad, KrustyLoader e o framework Sliver
Após estabelecer o acesso inicial, os invasores implantaram o Trojan ShadowPad, um backdoor modular amplamente associado a grupos chineses. O ShadowPad é capaz de carregar plug-ins, furtar dados e criar túneis de comunicação criptografados.
Para ativar o ShadowPad, os invasores usaram um segundo componente: o KrustyLoader, um loader escrito em Rust, responsável por implantar o framework Sliver — uma ferramenta de pós-exploração open source usada em operações de red team, similar ao Cobalt Strike.
Um detalhe importante do ataque foi o uso de executáveis legítimos da Trend Micro e BitDefender no processo de sideloading, mascarando a execução dos componentes maliciosos e reduzindo a chance de detecção por antivírus.
Passo 3: Roubo de credenciais e comprometimento do domínio
Na fase final, os invasores buscaram elevação de privilégios e controle do domínio corporativo. Para isso, recorreram a ferramentas conhecidas como ProcDump e LsassDumper, usadas para extrair credenciais da memória.
Em seguida, o grupo executou o ataque PetitPotam (CVE-2021-36942) para comprometer o controlador de domínio e obter controle total da rede.
Outras ferramentas observadas incluíram:
- Certutil, para baixar payloads adicionais;
- GoGo Scanner, usado para mapeamento de rede;
- Revsocks, um proxy reverso para comunicação segura entre os hosts comprometidos.
Essas etapas combinadas formaram uma cadeia de ataque resiliente e adaptativa, demonstrando o alto grau de profissionalismo e coordenação dos grupos envolvidos.
Conclusão: o impacto e a urgência da atualização
As descobertas da Symantec reforçam que a vulnerabilidade ToolShell SharePoint se tornou uma das mais exploradas de 2025, sendo usada como arma cibernética estratégica por múltiplos grupos de hackers chineses em uma campanha global.
A exploração da falha em ambientes governamentais e empresariais confirma que o ataque não teve fins financeiros, mas sim objetivos de espionagem e coleta de inteligência.
Apesar de a Microsoft ter disponibilizado o patch corretivo em julho, o relatório serve como um alerta crítico para administradores e equipes de segurança: é essencial garantir que todas as instâncias locais do SharePoint estejam devidamente atualizadas.
Organizações devem ainda monitorar indicadores de comprometimento (IoCs) relacionados a ferramentas como Zingdoor, ShadowPad e Sliver, e revisar logs de autenticação e execução em busca de sinais de movimentação lateral ou persistência.
A lição é clara: a resposta rápida a vulnerabilidades e a adoção de medidas de detecção proativa continuam sendo as defesas mais eficazes contra campanhas cibernéticas cada vez mais sofisticadas.
