Une exploitation généralisée de la vulnérabilité ToolShell
Des chercheurs en cybersécurité ont découvert une exploitation massive d’une vulnérabilité critique de Microsoft SharePoint par des hackers parrainés par l’État chinois, avec des attaques survenues quelques semaines après la publication d’un correctif de sécurité par le géant du logiciel en juillet 2025.
Des victimes sur plusieurs continents
La campagne a ciblé des organisations sur plusieurs continents, notamment un fournisseur de télécommunications au Moyen-Orient, des départements gouvernementaux en Afrique et en Amérique du Sud, une université américaine, ainsi que des entités en Europe. L’équipe Symantec Threat Hunter de Broadcom a identifié la vulnérabilité au cœur de ces intrusions comme étant CVE-2025-53770, une faille affectant les serveurs SharePoint sur site qui permet de contourner l’authentification et d’exécuter du code à distance.
Plusieurs groupes de menaces impliqués
Cette vulnérabilité, considérée comme un contournement des correctifs pour CVE-2025-49704 et CVE-2025-49706, a été exploitée comme une faille zero-day par trois groupes de menaces chinois, dont Linen Typhoon (également connu sous le nom de Budworm), Violet Typhoon (Sheathminer) et Storm-2603, ce dernier étant lié au déploiement de ransomwares Warlock, LockBit et Babuk ces derniers mois.
Salt Typhoon et des outils sophistiqués
Cependant, les dernières découvertes de Symantec indiquent qu’un éventail beaucoup plus large d’acteurs de menaces chinois ont exploité la vulnérabilité, notamment le groupe de hackers Salt Typhoon (Glowworm), qui aurait exploité la faille ToolShell pour déployer des outils tels que Zingdoor, ShadowPad et KrustyLoader contre l’entité de télécommunications et deux organismes gouvernementaux en Afrique.
KrustyLoader : un chargeur malveillant sophistiqué
KrustyLoader, décrit pour la première fois par Synacktiv en janvier 2024, est un chargeur basé sur Rust précédemment utilisé par un groupe d’espionnage lié à la Chine nommé UNC5221 lors d’attaques exploitant des failles dans Ivanti Endpoint Manager Mobile (EPMM) et SAP NetWeaver.
Techniques d’attaque variées
Les attaques visant des agences gouvernementales en Amérique du Sud et une université aux États-Unis ont, quant à elles, impliqué l’utilisation de vulnérabilités non spécifiées pour obtenir l’accès initial, suivies de l’exploitation de serveurs SQL et de serveurs Apache HTTP exécutant le logiciel Adobe ColdFusion pour livrer les charges malveillantes en utilisant des techniques de chargement latéral de DLL.
Escalade de privilèges et persistance
Dans certains incidents, les attaquants ont été observés en train d’exécuter un exploit pour CVE-2021-36942 (PetitPotam) pour l’escalade de privilèges et la compromission de domaine, ainsi qu’un certain nombre d’outils disponibles publiquement et de techniques “living-off-the-land” (LotL) pour faciliter le balayage réseau, le téléchargement de fichiers et le vol d’identifiants sur les systèmes infectés.
Attribution et objectifs
Selon Symantec, bien qu’il existe des similitudes dans les types de victimes et certains outils utilisés avec des activités précédemment attribuées à Glowworm, les preuves ne permettent pas d’attribuer de manière concluante cette activité à un groupe spécifique. Néanmoins, toutes les preuves pointent vers des acteurs de menaces basés en Chine.
L’activité menée sur les réseaux ciblés indique que les attaquants cherchaient à voler des identifiants et à établir un accès persistant et furtif aux réseaux des victimes, probablement à des fins d’espionnage.