Una reciente ola de ciberataques ha comprometido al menos 396 servidores de Microsoft SharePoint en todo el mundo, aprovechando una vulnerabilidad zero-day conocida como ToolShell (CVE-2025-53770/53771). Esta falla crítica ha generado preocupación a nivel global por su explotación selectiva y estratégica.

El hallazgo fue realizado por Eye Security, una firma de ciberseguridad con sede en los Países Bajos, tras analizar más de 27,000 instancias de SharePoint entre el 18 y el 23 de julio. El análisis confirmó que 145 organizaciones en 41 países han sido afectadas hasta ahora, y se espera que esta cifra continúe aumentando en los próximos días.

Estados Unidos, el País Más Afectado

Los Estados Unidos encabezan la lista con 31% de las organizaciones comprometidas. También se han visto afectadas naciones como Mauricio (8%), Alemania (7%) y Francia (5%). Eye Security sugiere que Mauricio pudo haber sido un blanco estratégico debido a la presencia de entidades gubernamentales estadounidenses en la región.

En Jordania, dos organizaciones también sufrieron ataques con volúmenes inusualmente altos, lo que sugiere una posible atención dirigida.

El Sector Gubernamental en la Mira

El 30% de las infecciones confirmadas corresponden al sector gubernamental. Aunque no hay confirmación oficial, se reporta que podrían estar entre los afectados agencias como el Departamento de Seguridad Nacional de EE. UU., el Departamento de Salud y Servicios Humanos, e incluso la Agencia de Armas Nucleares del país.

“El patrón de ataque indica que no fue una campaña aleatoria. Los atacantes sabían exactamente a quién buscaban,” afirmó Lodi Hensen, vicepresidente de Operaciones de Seguridad en Eye Security.

La firma indicó que los atacantes seleccionaron objetivos con valor estratégico o de inteligencia, lo que apunta a una operación cuidadosamente planificada.

Otros Sectores También Afectados

Además del sector público, otros sectores también sufrieron impactos:

• Educación: 13%
• Proveedores SaaS: 9%
• Telecomunicaciones: 4%
• Redes eléctricas: 4%

Esto subraya el alcance amplio y las posibles repercusiones en cadenas de suministro y servicios críticos.

Amenaza en Expansión Más Allá de los Actores Estatales

Inicialmente, Microsoft atribuyó los ataques a grupos vinculados a China, como Linen Typhoon, Violet Typhoon y Storm-2603. Sin embargo, Eye Security advierte que el uso del exploit ya se está extendiendo a actores no estatales, incluidos grupos criminales motivados financieramente.

Con el código del exploit disponible públicamente e integrado en herramientas como Metasploit, ahora incluso atacantes con poca experiencia pueden explotar sistemas sin parches.

Recomendaciones Urgentes

Eye Security prevé que la explotación de esta vulnerabilidad continuará en las próximas semanas, posiblemente acompañada de ataques de ransomware o compromisos en cadenas de suministro.

La firma hace un llamado a todas las organizaciones que utilicen SharePoint local para que tomen medidas inmediatas:

• Asuman que podrían haber sido comprometidas
• Verifiquen que todos los parches estén aplicados
• Realicen búsquedas proactivas de amenazas

Eye Security notificó directamente a sus clientes el 21 de julio y continúa monitoreando el panorama.

Fuente: https://www.infosecurity-magazine.com/news/396-sharepoint-systems-compromised