Китайские APT снова в деле: ToolShell в SharePoint стал новым ключом от двери Microsoft

Пока Microsoft радостно рапортует о патчах, китайские APT-группы уже успели разобрать июльский фикс SharePoint, обойти его и взломать половину планеты.
Уязвимость CVE-2025-53770, известная как ToolShell, позволяла хакерам скипнуть аутентификацию и исполнять код на серверах Microsoft SharePoint.
Проблему вроде как залатали летом — но, сюрприз, патч оказался дырявым, и теперь китайские операторы эксплуатируют его “во славу RCE”.

Как всё началось

Летом Microsoft закрыла пару багов — CVE-2025-49704 и CVE-2025-49706.
Через пару недель исследователи заметили, что “починено” — не значит “защищено”.
ToolShell стал патч-байпасом, то есть злоумышленники нашли способ обойти сам фикс, и снова пошли весёлые времена: RCE, бэкдоры и телеком-компании, уходящие в офлайн.

Кто атакует

Всё это дело — не одинокий фрилансер, а целая хакерская оркестровка из Китая.
По данным Symantec Threat Hunter Team (aka Broadcom Security Division), в атаке были замечены:

• Linen Typhoon (он же Budworm) — старый добрый шпион с корпоративным уклоном;

• Violet Typhoon (он же Sheathminer) — любит лазить в инфраструктуру и запускать свои шеллы;

• Storm-2603 — тот самый, кто недавно раздавал LockBit, Babuk и Warlock;

• и свежий участник — Salt Typhoon (Glowworm), который решил, что Rust — это модно, и запулил KrustyLoader в прод.

Где бахнуло

Жертвы — не случайные. Тут всё по геополитике:

• телеком в Ближнем Востоке;

• два госдепартамента в Африке;

• университет в США (видимо, тот, где учили кибербезопасность);

• финтех-компания в Европе;

• и, как бонус, пару госагентств в Южной Америке.

Такой себе “пакет целевых атак Deluxe Edition”.

Что юзали

Китайские группы подошли к делу как DevOps — с любовью и CI/CD-процессом.

Основные игрушки в их арсенале:

• ToolShell — для входа без аутентификации и удалённого исполнения кода;

• ShadowPad — классика жанра, корпоративный троян с полным функционалом RAT;

• Zingdoor — фишинговая троянская утилита, тихо сидит и ждёт приказов;

• KrustyLoader — Rust-бейзед загрузчик, любимец APT-групп, способный подгружать payload в обход антивируса;

• PetitPotam (CVE-2021-36942) — старый, но живой эксплойт для захвата домена через NTLM-атаку;

• LotL-инструменты (Living-off-the-Land) — стандартный набор: certutil, PowerShell, net.exe и компания.

То есть всё просто: открыли SharePoint, закинули шелл, подняли привилегии, увели креды и остались жить в сети.

Что хотели

Никакого крипто-шума — тут чистая шпионка.
APT-шки не ломали ради фана, а ради данных и постоянного доступа.
По логам видно, что они таскали креды, выстраивали persistence и шифровали коммуникацию.
Всё говорит о классической киберразведке уровня “госспонсор”.

Что говорят эксперты

Symantec аккуратно намекнула:

“У нас нет достаточных доказательств для точной атрибуции, но всё указывает на Китай.”

Перевод на человеческий:

“Мы знаем, кто это, просто не хотим, чтобы к нам пришли.”

Почему это важно

ToolShell стал ещё одним примером того, как патчи Microsoft превращаются в инструкцию для атак.
Стоило компании закрыть дыру, как APT-группы просто взяли апдейт, деконструировали фикс и написали обход.
Технически — CVE-2025-53770 стал zero-day на основе уже залатанной уязвимости.

То есть даже если ты обновился — ты всё ещё уязвим.
Классика: “patched, but pwned”.

Финал

SharePoint снова стал любимой песочницей китайских APT, и пока Microsoft “мониторит ситуацию”, половина SOC-команд мониторит себя на компрометацию.

Как сказали на одном DFIR-форуме:

“В 2025 неважно, когда ты патчишься. Важно, кто первым реверснул твой патч.”

Moral of the story — апдейты не спасают, если твои враги умеют читать диффы кода.
И да, если у тебя ещё есть он-прем SharePoint — можешь считать, что ты держишь в офисе портал в Поднебесную.