Tres grupos de hackers, dos vulnerabilidades y todas las miradas puestas en China

En el escenario principal de la competencia de hacking Pwn2Own en Berlín este marzo, los investigadores demostraron que era posible comprometer de forma remota información sensible a través del software SharePoint local de Microsoft: el primer vistazo que el mundo tuvo de dos peligrosas vulnerabilidades de software que amenazan a gobiernos y empresas alrededor del mundo.

SharePoint es utilizado por grandes organizaciones como repositorio para almacenar diversos tipos de documentos confidenciales, desde datos de adquisiciones hasta memorandos internos y documentos legales. Además, está profundamente integrado con los servicios de autenticación de Microsoft, lo que significa que hackers hábiles podrían aprovecharlo para penetrar más profundamente en las redes de sus víctimas.

El plan para evitar que los hackers atacaran estas organizaciones, según las reglas de Pwn2Own, consistía en que los investigadores de Viettel Cyber ​​Security revelaran sus hallazgos en privado a Microsoft antes de discutirlos públicamente. Los ingenieros de Microsoft publicarían parches para los errores y privarían a los actores maliciosos de una vía para atacar a los clientes de la compañía.

Sin embargo, cuatro meses después de la demostración de Pwn2Own, al menos cientos de clientes de Microsoft vieron sus servidores locales de SharePoint siendo saqueados en lo que los investigadores comenzaron a llamar la campaña ToolShell. Cabe destacar que no fue un solo grupo el responsable de estos ciberataques, sino tres organizaciones de hackers distintas, todas con sede en China, que explotaban los mismos problemas simultáneamente.

El incidente ha suscitado preguntas que, según los investigadores, es necesario comprender para defenderse de la creciente amenaza que representa el ciberataque de Pekín. ¿Qué significa que tres grupos distintos vinculados a China actuaran sobre las mismas vulnerabilidades de SharePoint casi al mismo tiempo? ¿Eran realmente independientes los tres grupos de amenazas? ¿Cómo consiguieron exploits viables con tanta rapidez? ¿Cuáles eran sus objetivos finales? Las respuestas siguen sin confirmarse, pero algunos expertos advierten que el patrón emergente es preocupante.

Sonando la alarma.

El 8 de julio, Microsoft publicó parches para las fallas, reconocidas formalmente como CVE-2025-49704 y CVE-2025-49706. Sin embargo, menos de dos semanas después, la compañía publicó una actualización inusual y urgente sobre dichos parches. Advirtió que los hackers no solo intentaban explotar servidores locales de SharePoint que no habían sido parcheados, sino que la compañía también estaba publicando una corrección adicional. Los hackers habían encontrado la manera de eludir la primera.

La advertencia de Microsoft generó preocupación en toda la comunidad de ciberseguridad. La primera observación inusual de Microsoft fue que la compañía afirmó que su telemetría sugería que las vulnerabilidades de SharePoint estaban siendo explotadas desde el 7 de julio, un día antes de que se publicaran las correcciones. Posteriormente, la compañía nombró no a uno, sino a tres grupos de hackers distintos que, según afirmó, habían intentado usar las vulnerabilidades CVE-2025-49704 y CVE-2025-49706 desde esa fecha.

Los grupos, a los que Microsoft se refirió como Linen Typhoon, Violet Typhoon y Storm-2603, representaban la amplitud del ecosistema de piratería informática chino, con vínculos con el Ejército Popular de Liberación (EPL), el Ministerio de Seguridad del Estado y grupos de ransomware. 

Además, Microsoft reconoció dos nuevas vulnerabilidades, CVE-2025-53770 y CVE-2025-53771, ambas desarrollos de las fallas anteriores que había intentado corregir. Afirmó que los grupos de hackers ya habían estado utilizando la evasión, lo que sugiere que los atacantes tenían un conocimiento sorprendentemente profundo de la falla y contaban con los recursos suficientes para intentar explotarla al máximo.

La búsqueda de explicaciones.

Mientras Microsoft y funcionarios gubernamentales investigan la campaña ToolShell, una pregunta clave es cómo tres grupos chinos diferentes obtuvieron exploits funcionales con tanta rapidez. Una teoría se basa en los propios esfuerzos de Microsoft por proteger a sus clientes. Antes de corregir las fallas, la compañía alertó discretamente a un grupo selecto de socios a través de su Programa de Protección Activa de Microsoft (MAPP) para avisar a los defensores y preparar sus defensas. Las sospechas se han centrado en la participación de empresas chinas en el programa.

Según la legislación china, todas las organizaciones e individuos del país tienen la obligación legal de informar al gobierno sobre nuevas vulnerabilidades de software, incluso antes de comunicárselas al proveedor. Algunos de los participantes de MAPP en China también son socios de la Base de Datos Nacional de Vulnerabilidades de China (CNNVD), un mecanismo operado por el MSS, que se considera que aumenta el riesgo de transferencia de conocimiento a los servicios de inteligencia chinos, a pesar de los acuerdos de confidencialidad de Microsoft.

Sveva Vittoria Scenarelli, analista principal de inteligencia de amenazas en Recorded Future, afirmó que la “posibilidad de filtraciones de los socios participantes” era un área de escrutinio. No se ha confirmado públicamente ninguna transferencia de este tipo entre un socio de MAPP y el MSS. Microsoft anunció en agosto que, tras revisar la campaña de ToolShell, restringiría el acceso a MAPP a varias organizaciones chinas.

“China es bastante singular en su forma de gestionar la divulgación de vulnerabilidades”, dijo Scenarelli, señalando que ningún otro país “obliga por ley a cualquier individuo o empresa a informar primero los días cero al estado antes de informarlo incluso al proveedor afectado”.

El propio Pekín niega haber participado en operaciones cibernéticas ofensivas. Pero incluso si analistas externos creen que existe el marco legal para procesar y distribuir vulnerabilidades a través del CNNVD, existen desafíos operativos al respecto y dudas sobre la participación de grupos de hackers vinculados al EPL.

Rafe Pilling, director de inteligencia de amenazas de Sophos, explicó que, normalmente, los grupos de hackers no comparten herramientas debido al riesgo de que las operaciones de un grupo interfieran con las de otro. «Los ataques de día cero son valiosos, y cada vez que se usan, se corre el riesgo de que se quemen y su valor disminuya rápidamente, especialmente para los objetivos que persiguen los grupos de espionaje patrocinados por estados».

Esto se debe a la cadencia impulsada por el ciclo de parches, afirmó Scenarelli. “Para cuando una vulnerabilidad se divulga públicamente, y ni hablar de la publicación de un parche, la ventaja del conocimiento se agota”, explicó. “Así que, si antes de eso, un grupo de amenazas podría haber tenido oportunidades de llevar a cabo una campaña discreta y lenta contra unas pocas docenas de objetivos de gran valor. De repente, eso se convierte en: ‘Tengo que establecer mi acceso a todo lo que pueda. Tengo que aprovechar la oportunidad, porque de lo contrario, podría no ser capaz de capitalizar esta capacidad'”.

Solo después de que esos actores de amenazas hayan establecido su acceso inicial a escala, pueden clasificar y seleccionar qué objetivos serán sus prioridades e intentar “atacarlos antes de que se cierre la ventana de oportunidad”, dijo Scenarelli.

Pero ha surgido un patrón entre los grupos de amenazas chinos a medida que esta ventana se cierra, añadió. El precedente se estableció al menos en 2021, durante los ataques de ProxyLogon. Durante esa campaña, varios grupos chinos comenzaron a explotar abruptamente las vulnerabilidades de Microsoft Exchange casi al mismo tiempo que se lanzaban los parches. La empresa de ciberseguridad Mandiant testificó posteriormente ante el Congreso que esta explotación sincrónica sugería una infraestructura logística y un canal para distribuir vulnerabilidades, posiblemente a través de algún tipo de intermediario centralizado que permitía a diferentes grupos adoptar el mismo código de explotación antes de su divulgación.

El patrón se repitió en 2023, cuando varios clústeres chinos se unieron para explotar una falla de Ivanti Connect Secure VPN en el estrecho margen entre el descubrimiento y la divulgación pública. Scenarelli afirmó que el nuevo patrón implicaba que, cada vez que un actor de amenazas inicial se enterara de la llegada de un parche, o un proveedor revelara que conocía la vulnerabilidad y estaba desarrollando un parche, se observaba que el grupo de amenazas original intensificaba su explotación a gran escala para acceder al mayor número posible de objetivos. Y, de repente, muchos otros grupos de amenazas chinos también estaban explotando esa misma vulnerabilidad.

Incluso esta situación plantea preguntas, dijo Scenarelli: “No está claro en muchos casos si esto se da al nivel de intercambio directo de código de explotación, o solo al nivel de un grupo de amenazas que informa a otros de que existe una vulnerabilidad y que podrían querer comenzar a explotarla antes de que se cierre la ventana de oportunidad”.

Julian-Ferdinand Vögele, también investigador principal de inteligencia de amenazas en Recorded Future, coincidió en que la campaña de ToolShell no era algo sin precedentes: «Existe un patrón, pero creo que sigue siendo bastante raro ver a varios actores de amenazas diferentes explotando los mismos ataques de día cero al mismo tiempo. Por lo tanto, creo que debe haber otra explicación. Pero en el pasado, sin duda era más raro».

Motivos más profundos.

Los investigadores creen que el primer grupo de víctimas de SharePoint reflejó las prioridades clásicas de recopilación de inteligencia, desde ministerios gubernamentales y proveedores de infraestructura crítica hasta industrias vinculadas al sector de defensa y telecomunicaciones. Recorded Future observó una continuidad entre las direcciones IP y los objetivos de la campaña ToolShell y los objetivos de otra campaña de hacking de principios de año, cuando un grupo de hackers utilizó una vulnerabilidad de Citrix para atacar a un perfil de víctima similar.

La advertencia de Microsoft también describió a Linen Typhoon (también conocido como APT27) y Violet Typhoon (APT31) como si persiguieran objetivos de inteligencia clásicos, buscando obtener acceso a largo plazo a las redes de las víctimas e intentando obtener datos confidenciales. Su elección de objetivos, según lo explicó Microsoft, estaba totalmente alineada con el espionaje tradicional patrocinado por estados.

Storm-2603 no parecía coincidir. Vögele afirmó que el anuncio de Microsoft parecía significativo: «Lo que más llamó la atención fue que Storm-2603 sí distribuye ransomware. Pero, al mismo tiempo, creo que Microsoft dejó muy claro que actualmente no están completamente seguros de los objetivos finales de este grupo específico. Deben tener alguna razón para decirlo, pero no está del todo claro cuál es».

A primera vista, Storm-2603 era simplemente un grupo de ransomware que aprovechaba las mismas vulnerabilidades previamente desconocidas que las principales unidades de espionaje de China, y lo hacían al mismo tiempo. Sergey Shykevich, gerente del grupo de inteligencia de amenazas de Check Point, afirmó que la compañía no había detectado ninguna superposición entre las actividades de recopilación de inteligencia y las de ransomware. Los ataques iniciales se asemejaban más a los de un estado-nación centrados en objetivos gubernamentales en Norteamérica y Europa, mientras que las muestras de malware posteriores que analizó la compañía estaban principalmente en español y relacionadas con Latinoamérica.

Pilling dijo que Sophos ha respondido a alrededor de una docena de casos, y basándose en la información de estos enfrentamientos, la suposición de trabajo de la compañía era que Storm-2603, o lo que llamó GOLD SALEM, y la llamada operación de ransomware Warlock eran de hecho una sola entidad: “Los hemos visto hablar sobre buscar interactuar potencialmente con afiliados, y es posible que haya varias personas en este grupo, pero en este momento los estamos considerando un solo grupo”.

Pero tenía dudas. Incluso la propia marca del ransomware parecía confusa. “No existe ningún ransomware llamado Warlock”, dijo Pilling. “Normalmente, la gente nombra al ransomware por las extensiones o la marca asociada, pero no existe ningún ransomware .warlock ni, fuera del sitio de la filtración, ningún ransomware al que se le llame Warlock”.

El análisis de Sophos, que Pilling compartirá en una charla en BlackHat Europe en Londres esta semana, sugirió que el grupo había estado explotando vulnerabilidades de SharePoint, tanto parcheadas como sin parchear, desde abril, aunque los ciberataques previos a la campaña de julio no utilizaban las mismas vulnerabilidades que ToolShell. “Observamos incidentes que se remontan al menos a abril de 2025, con acceso inicial a SharePoint”, declaró Pilling. “Por lo tanto, potencialmente, existe un actor que realiza estos ataques de ransomware con fines financieros; se especializan en usar vulnerabilidades de SharePoint de día n como acceso inicial… y luego saben cómo acceder a través de SharePoint y a las redes, y llevar a cabo el resto de su operación de ransomware”.

No todas las vulnerabilidades de Storm-2603 se convirtieron en ransomware, afirmó Pilling, lo que también proporcionó información sobre el actor de la amenaza: “Se vieron limitados por la cantidad de recursos humanos con los que contaban. Obtuvieron mucho acceso inicial, pero no contaban con los recursos para aprovecharlo al máximo”.

Pero, por supuesto, existía otra posibilidad: el ransomware podría ser un camuflaje. “Una pregunta que hemos estado analizando una y otra vez es: ¿se trata de una actividad con fines económicos o es una cortina de humo para ocultar algo más?”

Pilling señaló que algunas de las víctimas públicas del grupo de ransomware Warlock eran inusuales: un departamento gubernamental, importantes empresas de telecomunicaciones de Gran Bretaña y Francia, e incluso una organización relacionada con el sector nuclear. Decisiones inusuales para extorsionadores de bajo presupuesto, pero totalmente coherentes con las prioridades estratégicas de inteligencia.

Las ambigüedades hacen eco de las observaciones de los investigadores de Check Point, quienes dijeron que la explotación temprana de ToolShell se alineaba con la estrategia de los piratas informáticos patrocinados por el estado (ser selectivos, estratégicos y centrados geográficamente), seguida más tarde por una actividad más ruidosa, motivada financieramente.

Tal ofuscación, en lugar de una verdadera dualidad de misión, sería notable. Estados Unidos había revelado varias acusaciones formales que alegaban que hackers que trabajaban para el gobierno chino también se desempeñaban como ciberdelincuentes en beneficio propio.

Basándose en los objetivos que Sophos había visto, Pilling dijo que “podría ir en cualquier dirección”, pero advirtió que “en este momento no hemos visto ninguna actividad, en términos de acciones sobre el objetivo, que sugiera motivos más allá del ransomware”.

Pilling afirmó que Sophos rastrea a otro grupo, BRONZE STARLIGHT, que sin duda parecía usar ransomware como una especie de tapadera; como una explicación creíble del incidente y como una forma de destruir pruebas forenses. No he visto nada que me convenza de que se trate de algo distinto a lo que parece. Pero no hay razón por la que no puedan ser ambas cosas. Podría haber alguien atacando organizaciones de forma oportunista, pero si ve la manera de cobrar dos veces: una por la información del MSS y otra por la víctima a cambio de una clave de descifrado, entonces quizá lo haga.

También cabe la posibilidad de una mayor mezcla de motivos, dependiendo del éxito de los actores de Storm-2603 en atraer a afiliados criminales genuinos, incluso si los administradores del esquema tenían motivos ocultos. Sophos había observado que el actor de amenazas contactaba con ciberdelincuentes en foros de la dark web, pero eso no demuestra necesariamente que el grupo de ransomware sea algo más que eso.

Las preguntas planteadas por la campaña de ToolShell ponen de relieve las preocupaciones actuales de los defensores occidentales. El extenso ecosistema cibernético de China es muy activo y existen pocos datos que diferencien a las unidades estatales, los contratistas y los cibercriminales. La convergencia de tres entidades distintas en ToolShell no es inédita: desde ProxyLogon hasta Ivanti, se está perfilando un patrón.

Como decía Vögele, antes este tipo de cosas eran más raras: debe haber algo detrás que lo explique.

Fuente: therecord media

Más historias

Desmitificando la Dark Web. Una guía para principiantes

Ciberespionaje de MuddyWater: Snakes by the riverbank

Las extensiones maliciosas de VSCode en el registro de Microsoft eliminan a los ladrones de información

Las bandas de ransomware recurren al empaquetador Shanya EXE para ocultar los asesinos EDR

Pacto Oscuro 3.0: Impunidad controlada y los cibercriminales rusos