Microsoft, Çin devleti tehdit aktörlerinin SharePoint Server’da son derece tehlikeli yeni bir sıfır günlük güvenlik açığını aktif olarak hedeflediğini ve kullandığını ve Google Cloud’un Mantiant ve diğerlerinden önceki raporları doğruladığını ortaya koydu.
Yeni yayınlanan bir güncellemede Microsoft, adlandırılan iki tehdit aktörünün-Keten Typhoon ve Violet Typhoon-internete bakan SharePoint örneklerini hedeflediğini söyledi. Buna ek olarak, şu anda Storm-2603 olarak izlenen bir aktör de istismarlar üzerinde çalışıyor. Redmond, istismarları kullanan diğer aktörleri de araştırdığını ve daha fazla aşağı yönlü saldırılara hızla entegre edileceklerini öngördüğünü söyledi.
Bir Microsoft sözcüsü Computer Weekly’ye verdiği demeçte, “Bu sabah blogumuzda belirtildiği gibi, Microsoft, müşterileri bu güvenlik açıklarına karşı koruyan SharePoint Server, Abonelik Sürümü, 2019 ve 2016’nın desteklenen tüm sürümleri için yeni kapsamlı güvenlik güncellemeleri yayınladı.”
“Buna ek olarak, 19 Temmuz MSRC blogunun yanı sıra bugünün MSTIC blogu aracılığıyla müşterilere avcılık ve hafifletme rehberliği de yayınladık. Müşterilere yönelik rehberlik, bu güncellemeleri korumalarını sağlamak için hemen uygulamaları.
Scope, CVE-2025-53770 ve CVE-2025-53771’deki güvenlik açıkları, CVE-2025-49704 ve CVE-2025-49706 olarak izlenen daha önce ifşa edilen kusurları baypas. İkisinin birincisi ve en ciddi olanı, tam uzak uzak kod yürütme (RCE) sağlar ve SharePoint Server’ın desteklenen tüm sürümlerini etkiler.
Microsoft, Linen Typhoon, Violet Typhoon ve Storm-2603 tarafından kullanılan bilinen taktikler, teknikler ve prosedürlere (TTP’ler) dayanarak, 7 Temmuz 2025’te veya civarında CVE-2025-49704 ve CVE-2025-406’ya karşı istismar girişimlerini belirleyebildiğini söyledi.
Typhoon üfleme
Microsoft’un tehdit oyuncusu, 2023’te güncellenen taksonomiyi adlandıran, müşterilerin ve araştırmacıların tehditleri tanımasını ve neyle uğraşabileceklerini anlamalarını kolaylaştırmak için meteorolojik olaylarla farklı tehdit aktörlerini sınıflandırıyor.
Bu sistem altında Blizzard, Rus tehdit aktörlerini, İranlara kum fırtınası, Kuzey Kore’den kargaşaya ve Çin’e tayfun anlamına geliyor. Tempest, fidye yazılımı aktörleri gibi finansal olarak motive edilen çeteleri sınıflandırmak için kullanılır ve Fırtına bu örnekte ‘kalkınmadaki gruplara’ atıfta bulunur.
Bu durumda, Keten Typhoon ve Violet Typhoon, Çin-Nexus tehdit faaliyetinin iki ayrı kümesini ifade eder.
Keten Typhoon 2012’den beri aktiftir ve genellikle kurbanlarından fikri mülkiyet çalmaya odaklanmıştır – bu uzun zamandır Çin’in siber casusluk görevinin temel amacı olmuştur. Bilgisayar korsanları öncelikle hükümet, savunma, stratejik planlama ve insan haklarını seven kuruluşları hedefliyor. Öncelikle ‘sürüş’ uzlaşmasını destekler ve genellikle kurbanlarına sızmak için mevcut, eşleştirilmemiş istismarlara güvenir.
Violet Typhoon 2015’ten beri aktiftir ve eski hükümet ve askeri personel, sivil toplum kuruluşları (STK’lar), düşünce kuruluşları, yükseköğretim kurumları, medya, finans ve sağlık kuruluşlarını hedefleyen daha fazla safplay casusluk faaliyetine odaklanmaktadır. Kurbanları Doğu Asya, Avrupa ve Kuzey Amerika’da yoğunlaşma eğilimindedir. Modus operandi, maruz kalan web altyapısındaki güvenlik açıklarını taramak ve web kabuklarını yüklemek için keşfettiği zayıflıklardan yararlanmaktır.
Bu arada, Storm-2603’ün Çin tehdit oyuncusu olduğundan şüpheleniliyor ve diğer APT’ler arasındaki bağlantılar henüz ateşlenmedi. Microsoft, SharePoint güvenlik açıkları aracılığıyla makine anahtarlarını çalma girişimleriyle birlikte izliyor. İlginç bir şekilde, Storm-20603’ün, diğerlerinin yanı sıra Lockbit için fidye yazılımı üyesi olarak hareket ettiği gözlemlenmiştir, ancak Microsoft’un analistleri gerçek hedeflerini henüz çok güvenle değerlendiremeyeceklerini söylüyor.
Microsoft araştırma ekibi, ek aktörlerin muhtemelen piyasaya sürülmemiş, şirket içi sistemleri hedeflemek için SharePoint istismarlarını kullanacağını ve kullanıcıların hemen proaktif adımlar atma ihtiyacını vurgulayacağını vurguladı.