Grupos de ransomware se suman a ataques masivos contra servidores Microsoft SharePoint

Un nuevo frente para el ransomware

Investigadores han detectado que grupos de ransomware se han unido a una campaña de explotación de vulnerabilidades en Microsoft SharePoint, conocida como ToolShell.
La ofensiva ya ha comprometido al menos 148 organizaciones en todo el mundo, incluyendo entidades gubernamentales y empresas multinacionales.

El ransomware 4L4MD4R: una amenaza en evolución

Durante el análisis de los incidentes, los expertos identificaron una variante de ransomware llamada 4L4MD4R, basada en el código abierto Mauri870.

• Fecha de detección: 27 de julio de 2025
• Lenguaje y características: escrito en GoLang, comprimido con UPX y con una carga maliciosa cifrada con AES que se ejecuta directamente en memoria.
• Método de infección: un loader descarga el ransomware desde el dominio theinnovationfactory[.]it tras ejecutar comandos de PowerShell diseñados para desactivar la monitorización de seguridad.
• Impacto: cifra los archivos del sistema y exige un pago de 0.005 Bitcoin, dejando notas de rescate y listas de archivos afectados.

Vínculos con actores estatales chinos

Tanto Microsoft como Google han vinculado la campaña ToolShell con tres grupos de amenazas patrocinados por el Estado chino:

• Linen Typhoon
• Violet Typhoon
• Storm-2603

Entre los objetivos comprometidos destacan:

• La Administración Nacional de Seguridad Nuclear de EE. UU.
• El Departamento de Educación de EE. UU.
• El Departamento de Ingresos de Florida
• La Asamblea General de Rhode Island
• Redes gubernamentales en Europa y Medio Oriente

Vulnerabilidades explotadas

La campaña aprovecha una cadena de vulnerabilidades en SharePoint:

• CVE-2025-49706 y CVE-2025-49704 (ataques iniciales como zero-day)
• Microsoft corrigió estas fallas en el Patch Tuesday de julio 2025, asignando nuevos IDs: CVE-2025-53770 y CVE-2025-53771, incluso para servidores totalmente parcheados.

Investigadores detectaron inicialmente 54 organizaciones comprometidas, pero sus últimos datos indican que hay al menos 400 servidores infectados con malware.

Respuesta urgente de las autoridades

La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ha añadido CVE-2025-53770 a su catálogo de vulnerabilidades explotadas y ha ordenado a las agencias federales asegurar sus sistemas en un plazo de 24 horas.

Recomendaciones para empresas

1. Aplicar de inmediato las actualizaciones de seguridad de julio 2025 en servidores SharePoint.
2. Revisar registros y monitoreo para identificar actividad sospechosa en PowerShell.
3. Implementar segmentación de red para limitar el alcance en caso de intrusión.
4. Realizar copias de seguridad offline y planes de recuperación ante ransomware.