Исследователи безопасности из Google и Microsoft заявили, что у них есть доказательства того, что хакеры, связанные с Китаем, эксплуатируют уязвимость нулевого дня в Microsoft SharePoint. Компании по всему миру сейчас спешно устанавливают заплатки для устранения этой бреши.
Уязвимость, официально обозначенная как CVE-2025-53770 и обнаруженная на прошлой неделе, позволяет злоумышленникам похищать конфиденциальные приватные ключи из самостоятельно размещенных версий SharePoint — серверного программного обеспечения, широко используемого организациями для хранения и обмена внутренними документами. После эксплуатации бреши атакующие могут удаленно внедрять вредоносное ПО, получать доступ к файлам и данным, хранящимся в системе, а также к другим сетям, связанным с зараженным сервером.
В блоге Microsoft, опубликованном во вторник, сообщается, что компания зафиксировала использование уязвимости в SharePoint как минимум двумя ранее известными китайскими хакерскими группами — «Linen Typhoon» и «Violet Typhoon». По данным Microsoft, первая группа специализируется на краже интеллектуальной собственности, а вторая добывает информацию для шпионажа.
Кроме того, Microsoft связала текущие атаки с третьей группировкой, получившей название «Storm-2603», о которой у компании меньше данных. Однако в заявлении отмечается, что эти хакеры ранее были причастны к ransomware-атакам.
Согласно Microsoft, все три группы начали эксплуатацию уязвимости еще 7 июля.
Чарльз Кармакал, технический директор подразделения реагирования на инциденты Google Mandiant, в письме TechCrunch подтвердил, что «как минимум один из причастных акторов связан с Китаем», но подчеркнул, что «сейчас эту уязвимость активно используют несколько групп».
Уже пострадали десятки организаций, включая государственные структуры. Уязвимость классифицируется как zero-day, поскольку Microsoft не успела выпустить патч до начала её активной эксплуатации. Компания уже распространила обновления для всех затронутых версий SharePoint, однако исследователи предупреждают: клиенты, использующие локальные версии платформы, должны исходить из того, что их системы уже скомпрометированы.
Представитель посольства Китая в Вашингтоне не ответил на запрос о комментариях. Китайское правительство традиционно отвергает обвинения в кибератаках, хотя обычно не опровергает их прямым образом.
Это не первая крупная кампания, связанная с Китаем. В 2021 году хакеры, предположительно поддерживаемые Пекином, атаковали локальные серверы Microsoft Exchange в ходе массового взлома. Согласно недавнему обвинительному акту Министерства юстиции, действия группировки «Hafnium» привели к компрометации контактных данных и почтовых ящиков с более чем 60 000 серверов.