Microsoft Salı günü, Çin hükümet destekli iki deneyimli tehdit grubunu sömürdüğünü söyledi Yakın zamanda açıklanan bir güvenlik açığı SharePoint sunucularında.
Microsoft’un Linen Typhoon ve Violet Typhoon adını verdiği gruplar, SharePoint’i çalıştıran bilgisayar ağlarına nüfuz etmeye çalışan birçok hacker arasında, bir sahtekarlık güvenlik açığı kullanarak, CVE-2025-49706ve bir uzaktan kod yürütme güvenlik açığı, CVE-2025-49704. (Microsoft, yeni CVES’i atadığı güvenlik açıklarını yamaladı CVE-2025-53770 Ve CVE-2025-53771sırasıyla.)
Microsoft, Storm-2603 olarak izlenen üçüncü Çin bağlantılı bir aktörün de güvenlik açıklarından yararlandığını söyledi.
Google’ın Mantion Bölümünden Bir Yönetici Ayrıca onaylandı Pazartesi günü, Çin bağlantılı bir hacker ekibinin SharePoint kusurlarından yararlanan artan sayıda aktör arasında olduğunu.
Pazar günü Siber Güvenlik ve Altyapı Güvenlik Ajansı CVE-2025-53770 eklendi Bilinen sömürülen güvenlik açıkları kataloğuna.
Microsoft, bilgisayar korsanlarının hedeflenen kuruluşlara ilk dayanakları kazanmak için 7 Temmuz gibi erken bir tarihte kusurlardan yararlanmaya başladığını söyledi.
Saldırılar, çok çeşitli endüstrilerdeki çeşitli hükümetler ve şirketler de dahil olmak üzere dünya çapında düzinelerce kuruluştan ödün verdi.
Palo Alto Networks’teki Araştırmacılar Söz konusu bilgisayar korsanları, multifaktör kimlik doğrulamasını ve tek oturum açma sistemlerini atlamak için kusurları kullanıyor ve sistemlere ayrıcalıklı erişim elde ediyorlar, bu da kalıcı arka fırınları dağıtmalarına, hassas verileri almalarına ve kriptografik anahtarları çalmalarına izin veriyor.
Rapid7 de olduğunu söyledi gözlemlenen aktif sömürü Müşteri ortamlarında.
Microsoft’a göre, 2012 yılında ilk kez ortaya çıkan Linen Typhoon, hükümeti, savunma endüstrilerini ve stratejik planlama organizasyonlarını hedefleyen fikri mülkiyet çalmak için mevcut istismarları kullandı.
2015 yılından bu yana faaliyet gösteren Violet Typhoon, ABD, Avrupa ve Doğu Asya’daki hükümet ve askeri yetkilileri, hükümet dışı kuruluşları, yüksek öğrenim, dijital ve basılı medyayı, finans firmalarını ve sağlık kuruluşlarını hedeflediğini söyledi. Grup normalde Web mermileri yüklemeden önce açıkta olan Web Altyapısını güvenlik açıkları için tarar.
Araştırmacılar, şirket içi SharePoint sunucularındaki güvenlik açıkları aracılığıyla fırtına-2603 çalma makine anahtarlarını gözlemlediler. Tehdit oyuncusu daha önce bu erişimi Warlock ve Lockbit fidye yazılımı suşlarını dağıtmak için kullanmıştı. Microsoft, grubun mevcut hedeflerini henüz anlamadığını söyledi.
Microsoft, hala diğer tehdit aktörleri tarafından sömürü araştırdığını ve daha fazla bilgisayar korsanının yeni güvenlik açıklarını şirket içi Sharepoint sunucularına yapılan saldırılarına entegre edeceği konusunda uyardı.