Un nuevo repunte de actividad maliciosa ha sido atribuido al grupo conocido como Storm‑2603, identificado por Microsoft como un actor vinculado a intereses estatales chinos. En su campaña más reciente, este grupo ha estado explotando múltiples vulnerabilidades en instancias locales de Microsoft SharePoint para infiltrarse en redes empresariales, robar información y desplegar ransomware.
A diferencia de ataques anteriores, en esta operación se encadenan vulnerabilidades recientes y previamente parcheadas (como las CVE‑2025‑53770, CVE‑2025‑53771, CVE‑2025‑49704 y CVE‑2025‑49706) para lograr la ejecución remota de código, obtener credenciales del sistema y mantener acceso persistente incluso después de que el sistema ha sido corregido.
Uno de los puntos clave del ataque es el abuso de las claves MachineKey de ASP.NET, lo que les permite reutilizar sesiones y tokens aún después de aplicar parches. De esta forma, los atacantes continúan con su control del sistema sin necesidad de una reinfección inicial.
¿Cómo atacan?
El grupo Storm‑2603 utiliza una cadena de herramientas sofisticadas, entre las que se incluyen:
- ToolShell: exploit modular que permite cargar comandos maliciosos vía webshell en procesos IIS (w3wp.exe).
- spinstall0.aspx: archivo cargado como backdoor para persistencia inicial.
- Mimikatz y PsExec: utilizados para la extracción de credenciales y movimiento lateral.
- Framework AK47C2: infraestructura propia de comando y control, con canales HTTP y DNS (AK47HTTP/DNS).
- Ransomware como payload final: variantes como Warlock y LockBit Black, distribuidas usando GPOs manipuladas.
Alcance
Esta operación afecta de forma significativa a entidades en Latinoamérica, Asia-Pacífico, Europa y agencias gubernamentales de Estados Unidos, con más de 400 organizaciones comprometidas hasta el momento. La mayoría de los ataques se dirigen a servidores SharePoint que aún no han aplicado los parches más recientes o que no han rotado sus claves de cifrado.
versiones afectadas
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Server 2016
recomendaciones
- Aplica los parches de julio de 2025 de forma inmediata: Instala las actualizaciones más recientes para todas las versiones de SharePoint afectadas (2016, 2019 y Subscription Edition). Estos parches corrigen las vulnerabilidades utilizadas en la cadena ToolShell.
- Cambia las claves MachineKey: Después de aplicar los parches, genera nuevas claves validationkey y decryptionkey en el archivo web.config. Esta acción es crucial para invalidar cualquier token de sesión previamente comprometido.
- Aisla la administración de SharePoint: Restringe el acceso a la interfaz administrativa de SharePoint a través de VPN o IPs permitidas. Nunca la expongas directamente a internet.
- Refuerza tus defensas con EDR y AMSI: Activa la interfaz de escaneo antimalware (AMSI) y asegúrate de contar con soluciones EDR capaces de detectar cargas en memoria, herramientas como Mimikatz y ejecución de shell remota.
