El pasado 21 de julio nos despertábamos en España con una noticia aterradora: hackers de todo el mundo ponían en jaque agencias a nivel internacional aprovechando una brecha de Microsoft. Una brecha que hizo mover ficha incluso al FBI, y que tendría a hackers chinos detrás.
Según afirman portales como el The Washington Post y empresas como Google, uno de los actores que habrían perpetrado los ataques zero-day de la plataforma SharePoint incluiría grupos maliciosos vinculados a China.
Tanto es así que ya hay quién lo relaciona con Silk Typhoon, un grupo de atacantes vinculado directamente al gobierno chino y que se ha encargado de los ataques más lesivos contra la infraestructura de Estados Unidos.
Un grupo de hackers chinos
El primer indicio sobre estos atacantes lo da Google, que estima que uno de los actores responsables de la explotación de la vulnerabilidad "es un actor malicioso vinculado a China". No solo eso; creen que esta tendencia seguirá en el tiempo.
Esto es debido a que "ya que otros actores maliciosos, impulsados por diversas motivaciones, también aprovecharán esta vulnerabilidad", apostilla Charles Carmakal, CTO de Mandiant Consulting - Google Cloud.
Recordemos que la vulnerabilidad zero-day (es decir, que fue explotada antes siquiera de conocerse) tuvo su foco en los servidores locales de SharePoint, una plataforma de Microsoft para gestionar y compartir documentos.
Decenas de miles de servidores quedaron afectados, gracias a una falla que permitía a los atacantes obtener datos confidenciales y a las redes comprometidas. Esta daba accesos de administración a los hackers, incluso aunque se reiniciase el servidor.
Oficinas de Microsoft en Múnich (Alemania).
Y es que los ataques permitían a los hackers extraer las claves criptográficas de los servidores, lo que a su vez daba acceso a los atacantes para que pudieran instalar cualquier cosa, incluyendo puertas traseras en los propios servidores.
Si bien las versiones en la nube de estos servidores no estaban afectados, la vulnerabilidad CVE-2025-53770 sí que era potencialmente peligrosa para todo servidor que estuviera alojado de forma local y tuviera acceso a Internet.
Según adelantaron medios de todo el mundo, esto llevó a que agencias gubernamentales, entidades y organizaciones a nivel mundial estuvieran afectadas por el fallo, obligándolas a cambiar de repositorio. Hasta el FBI está involucrada en esto.
Tal y como revelan The Washington Post y Reuters, los atacantes cibernéticos estaban directamente relacionados con el ejecutivo chino, estando detrás de al menos uno de los ataques más generalizados contra las organizaciones que usaban estos servidores.
Logo de SharePoint.
Citando investigadores anónimos que están estudiando el caso, algunos de los servidores vinculados a sistemas SharePoint en Estados Unidos se conectaron a direcciones de protocolo de Internet dentro de China el pasado viernes y sábado.
Estos detallan que los primeros objetivos del ataque que tuvo alcance internacional se centraron en entidades que "podrían interesar al gobierno chino". Otros se usaron para instalar ransomware, robar secretos corporativos, etcétera.
El pasado 9 de julio se detuvo en Milán a Xu Zewei, ciudadano de origen chino buscado por el FBI vinculado a Silk Typhoon, y que fue responsable de varios ataques hacker en Estados Unidos entre los años 2020 y 2021.