ToolShell bug usado por grupos chineses para atacar governos na África e América do Sul

Equipes de resposta a incidentes identificaram invasões em agências governamentais, operadoras de telecomunicações e universidades em diversos países a partir da exploração da vulnerabilidade ToolShell, descoberta em julho.

Campanha envolvendo CVE-2025-53770 amplia impacto global

Especialistas da Symantec e da Carbon Black Threat Hunter Team rastrearam diversos incidentes relacionados à CVE-2025-53770, vulnerabilidade que causou grande preocupação no mercado quando a Microsoft alertou clientes do SharePoint on-premises que três grupos oriundos da China a estavam explorando. Dezenas de governos e grandes empresas utilizam o SharePoint, especialmente para gerenciar intranets e fluxos de trabalho internos.

A Symantec e a Carbon Black identificaram incidentes em uma operadora de telecomunicações do Oriente Médio logo após o anúncio da falha. Em seguida, foram detectadas violações em dois órgãos governamentais de um país africano, dois órgãos na América do Sul e em uma universidade norte-americana. Outros indícios sugerem comprometimento em uma agência de tecnologia de estado africana, um departamento do governo no Oriente Médio e uma financeira europeia.

Uso de malware conhecido e ferramentas legítimas

Após obter acesso, os atores usaram diferentes malwares previamente atribuídos a grupos chineses, como Zingdoor, ShadowPad, KrustyLoader, entre outros. O Zingdoor foi encontrado em três ambientes de vítimas, sendo um backdoor usado por famosos grupos de origem chinesa, como Famous Sparrow e Earth Estries. O malware permite coleta de informação de sistema, upload de arquivos e movimentação lateral na rede comprometida.

O KrustyLoader foi vinculado a ataques de um grupo que também explorava falhas críticas em produtos da Ivanti, enquanto ferramentas legítimas como Sliver, Certutil e GoGo Scanner foram observadas em diversas invasões.

Escopo do ataque aponta para espionagem e persistência

O grande número de vítimas reforça a hipótese de campanha de varredura em massa pela falha ToolShell, seguida de movimentos direcionados nas redes de interesse. Atividades detectadas nos ambientes comprometidos indicam interesse na obtenção de credenciais e no estabelecimento de acesso furtivo e persistente, com objetivo frequentemente ligado à espionagem.

A Microsoft já havia confirmado que dois agentes estatais chineses — Linen Typhoon e Violet Typhoon — exploravam a falha. Ambos possuem histórico de mais de uma década em operações de espionagem e roubo de propriedade intelectual.

Warlock ransomware destaca novo perfil da ameaça

Em Abril, a Microsoft também atribuiu ataques a um terceiro grupo chinês, até então não identificado, utilizando a ToolShell para distribuir o ransomware Warlock, cuja primeira detecção ocorreu em junho de 2025. Os pesquisadores apontam ligações do Warlock com o AnyLock ransomware, além de possíveis vínculos com LockBit e Black Basta.

Ferramentas e táticas empregadas no ransomware sugerem que parte do grupo opera desde 2019, atuando tanto em espionagem como em ataques de extorsão digital. Autoridades americanas e empresas do setor já alertaram para o uso de ransomware por atores chineses como camuflagem para atividades de espionagem ou roubo de dados, ampliando a complexidade das operações e dos riscos globais.