Çin ile bağlantısı olan tehdit aktörleri bu durumu istismar etti Araç Kabuğu Temmuz 2025’te kamuya açıklanıp yamalandıktan sonra Microsoft SharePoint’te Orta Doğu’daki bir telekomünikasyon şirketini ihlal eden güvenlik açığı.
Ayrıca bir Afrika ülkesindeki devlet dairelerinin yanı sıra Güney Amerika’daki devlet kurumları, ABD’deki bir üniversite, muhtemelen bir Afrika ülkesindeki bir devlet teknoloji kurumu, Orta Doğu’daki bir devlet dairesi ve bir Avrupa ülkesindeki bir finans şirketi de hedef alındı.
Broadcom’un Symantec Tehdit Avcısı Ekibine göre saldırılar, şirket içi SharePoint sunucularında kimlik doğrulamayı atlamak ve uzaktan kod yürütmek için kullanılabilecek, artık yamalanmış bir güvenlik açığı olan CVE-2025-53770’in istismarını içeriyordu.
CVE-2025-49704 ve CVE-2025-49706 için bir yama bypass’ı olarak değerlendirilen CVE-2025-53770, Linen Typhoon (diğer adıyla Budworm), Violet Typhoon (diğer adıyla Sheathminer) ve Storm-2603 dahil olmak üzere üç Çinli tehdit grubu tarafından sıfır gün olarak silah haline getirildi. Warlock, LockBit ve Babuk fidye yazılımı aileleri son aylarda ortaya çıktı.
Ancak Symantec’in son bulguları, çok daha geniş bir yelpazedeki Çinli tehdit aktörlerinin bu güvenlik açığını kötüye kullandığını gösteriyor. Buna, Zingdoor, ShadowPad ve KrustyLoader gibi araçları Afrika’daki telekom kuruluşuna ve iki hükümet organına karşı dağıtmak için ToolShell kusurundan yararlandığı söylenen Salt Typhoon (aka Glowworm) hack grubu da dahildir.
İlk olarak Ocak 2024’te Synacktiv tarafından ayrıntıları verilen KrustyLoader, daha önce UNC5221 adlı Çin bağlantılı bir casusluk grubu tarafından Ivanti Endpoint Manager Mobile (EPMM) ve SAP NetWeaver’daki kusurlardan yararlanan saldırılarda kullanılmış olan Rust tabanlı bir yükleyicidir.
Öte yandan, Güney Amerika’daki devlet kurumlarını ve ABD’deki bir üniversiteyi hedef alan saldırılar, ilk erişimi elde etmek için belirtilmemiş güvenlik açıklarının kullanılmasını ve ardından DLL yan yükleme tekniklerini kullanarak kötü amaçlı yükleri dağıtmak için Adobe ColdFusion yazılımını çalıştıran SQL sunucularının ve Apache HTTP sunucularının istismar edilmesini içeriyordu.
Bazı olaylarda, saldırganların, ayrıcalık yükseltme ve alan adı ihlali için CVE-2021-36942 (diğer adıyla PetitPotam) için bir istismar gerçekleştirdiği ve ayrıca virüs bulaşmış sistemlerde taramayı, dosya indirmeyi ve kimlik bilgileri hırsızlığını kolaylaştırmak için hazır ve arazide yaşayan (LotL) bir dizi araç gerçekleştirdiği gözlemlendi.
Symantec, “Bu etkinlik ile daha önce Glowworm’a atfedilen etkinlik arasında kurban türlerinde ve kullanılan bazı araçlarda bazı örtüşmeler var” dedi. “Ancak, bu aktiviteyi kesin olarak belirli bir gruba atfetmek için elimizde yeterli kanıt yok, ancak tüm kanıtların arkasında olanların Çin merkezli tehdit aktörleri olduğuna işaret ettiğini söyleyebiliriz.”
“Hedeflenen ağlarda gerçekleştirilen faaliyet, saldırganların kimlik bilgilerini çalmakla ve muhtemelen casusluk amacıyla kurban ağlarına kalıcı ve gizli erişim sağlamakla ilgilendiklerini gösteriyor.”