Tra il 7 e il 18 luglio 2025, sono stati identificati attacchi massivi verso server on‑premise di Microsoft SharePoint, sfruttando una catena di vulnerabilità zero‑day, che comprende CVE‑2025‑49706 (spoofing/deserialization) e CVE‑2025‑49704, e successivamente nuove varianti identificate come CVE‑2025‑53770 e CVE‑2025‑53771. Il vettore, denominato internamente “ToolShell”, consente esecuzione remota di codice (RCE), estrazione di chiavi crittografiche e compromissione completa del server SharePoint.
Tecnica d’attacco
L’attacco si basa su una catena di exploit sofisticati che sfruttano vulnerabilità zero-day in SharePoint per ottenere l’esecuzione di codice remoto, eludere i meccanismi di autenticazione e compromettere l’intera infrastruttura applicativa:
- Deserializzazione incontrollata: l’attaccante invia payload serializzati malevoli firmati con ValidationKey, iniettati nel processo ASP.NET ViewState, portando all’esecuzione di comandi arbitrarî senza autenticazione
- Path traversal + spoofing: combinazione di vulnerabilità che consente bypass MFA/SSO, elevazione di privilegio e formazione di backdoor persistenti
- Esfiltrazione chiavi: tecniche sofisticate colpiscono la rilascio incontrollato di chiavi private, critiche per la generazione di firme e la gestione ViewState, permettendo persistente accesso post-compromissione.
Threat actor attribuiti
Microsoft ha attribuito gli exploit a tre gruppi con legami statali cinesi:
| Gruppo | Alias | Motivazioni note |
|---|---|---|
| Linen Typhoon | APT27 | Spionaggio industriale e IP theft |
| Violet Typhoon | APT31 | Intelligence militare e governi |
| Storm‑2603 | — | Precedenti connessioni a ransomware |
Google/Mandiant ha confermato la correlazione con almeno un “China‑nexus threat actor”. Eye Security e Shadowserver hanno stimato circa 75–100 entità compromesse, includendo agenzie federali USA, università, aziende e istituzioni governative internazionali.
Rischi per le aziende
Le vulnerabilità sfruttate nella campagna ToolShell espongono le organizzazioni a gravi rischi operativi, con impatti diretti su riservatezza, integrità e disponibilità dei dati critici, tra cui:
- Elevato rischio di movimento laterale a causa dell’integrazione SharePoint–Office/Teams/OneDrive
- Esfiltrazione di dati confidenziali, documenti sensibili e accesso a infrastrutture critiche
- Potenziale post-compromissione tramite ransomware (es. LockBit) grazie a backdoor persistenti.
Contromisure e mitigazioni
Microsoft ha rilasciato aggiornamenti di emergenza (Patch Tuesday + hotfix) per SharePoint Subscription Edition, 2019 e 2016. CISA ha incluso CVE‑2025‑53770 nel suo catalogo di Vulnerabilità Note Sfruttate, esortando patch immediate.
Linee guida operative:
- Applicare patch complete, isolare servers esposti durante l’upgrade
- Ruotare tutte le chiavi criptografiche e gli ValidationKeys
- Disconnettere temporaneamente i server non patched da Internet
- Eseguire threat hunting per IOCs noti: Spinstall0.aspx, indirizzi IP malevoli, PowerShell
- Condurre audit approfonditi per verifica della presenza di web‑shell e payload residui.
Riflessioni finali
La campagna “ToolShell” si inserisce in una tendenza ben radicata di aggressione cyber-espionistica da parte di gruppi cinesi. La rapidità di weaponizzazione delle zero-day – “hours to days” – evidenzia una capacità offensiva sofisticata e capillare.
Per le aziende, resta cruciale la gestione proattiva delle patch, l’adozione di sistemi di monitoraggio e risposta attivi H24, di architetture di difesa a più livelli e la capacità di recovery operativa. L’aspetto geopolitico, con evidenti ramificazioni internazionali, impone una risposta coordinata tra aziende, governi e comunità di sicurezza globale.
