Các tác nhân đe dọa có liên hệ với Trung Quốc đã khai thác lỗ hổng bảo mật ToolShell trong Microsoft SharePoint để xâm nhập một công ty viễn thông ở Trung Đông sau khi lỗ hổng này được công bố công khai và vá lỗi vào tháng 7 năm 2025.
Các mục tiêu khác bao gồm các bộ phận chính phủ ở một quốc gia châu Phi, cũng như các cơ quan chính phủ ở Nam Mỹ, một trường đại học ở Hoa Kỳ, cùng với khả năng là một cơ quan công nghệ nhà nước ở một quốc gia châu Phi, một bộ phận chính phủ ở Trung Đông và một công ty tài chính ở một quốc gia châu Âu.
Theo Symantec Threat Hunter Team của Broadcom, các cuộc tấn công liên quan đến việc khai thác CVE-2025-53770, một lỗ hổng bảo mật đã được vá trong các máy chủ SharePoint on-premise mà có thể được sử dụng để bỏ qua xác thực và thực thi remote code execution.
CVE-2025-53770, được đánh giá là một patch bypass cho CVE-2025-49704 và CVE-2025-49706, đã bị vũ khí hóa thành một zero-day bởi ba nhóm tác nhân đe dọa Trung Quốc, bao gồm Linen Typhoon (hay còn gọi là Budworm), Violet Typhoon (hay còn gọi là Sheathminer) và Storm-2603, nhóm sau này có liên quan đến việc triển khai các dòng ransomware Warlock, LockBit và Babuk trong những tháng gần đây.
Tuy nhiên, những phát hiện mới nhất từ Symantec cho thấy nhiều tác nhân đe dọa Trung Quốc đã lạm dụng lỗ hổng này hơn. Điều này bao gồm nhóm hacking Salt Typhoon (hay còn gọi là Glowworm), được cho là đã tận dụng lỗ hổng ToolShell để triển khai các công cụ như Zingdoor, ShadowPad và KrustyLoader nhằm vào các thực thể viễn thông và hai cơ quan chính phủ ở châu Phi.
KrustyLoader, lần đầu tiên được mô tả chi tiết bởi Synacktiv vào tháng 1 năm 2024, là một Rust-based loader trước đây được một nhóm gián điệp có liên hệ với Trung Quốc tên là UNC5221 sử dụng trong các cuộc tấn công khai thác lỗ hổng trong Ivanti Endpoint Manager Mobile (EPMM) và SAP NetWeaver.
Mặt khác, các cuộc tấn công nhằm vào các cơ quan chính phủ ở Nam Mỹ và một trường đại học ở Hoa Kỳ liên quan đến việc sử dụng các unspecified vulnerabilities để có được initial access, tiếp theo là khai thác SQL servers và Apache HTTP servers chạy phần mềm Adobe ColdFusion để phân phối các malicious payloads bằng cách sử dụng các kỹ thuật DLL side-loading.
Trong một số vụ việc, những kẻ tấn công đã được quan sát thấy thực thi một exploit cho CVE-2021-36942 (hay còn gọi là PetitPotam) để privilege escalation và domain compromise, cùng với một số công cụ living-off-the-land (LotL) có sẵn để tạo điều kiện thuận lợi cho scanning, file download và credential theft trên các hệ thống bị nhiễm.
"Có một số sự trùng lặp về loại nạn nhân và một số công cụ được sử dụng giữa hoạt động này và hoạt động trước đây được gán cho Glowworm," Symantec cho biết. "Tuy nhiên, chúng tôi không có đủ bằng chứng để kết luận quy kết hoạt động này cho một nhóm cụ thể, mặc dù chúng tôi có thể nói rằng tất cả bằng chứng đều chỉ ra rằng những kẻ đứng đằng sau là các China-based threat actors."
"Hoạt động được thực hiện trên các mạng mục tiêu cho thấy những kẻ tấn công quan tâm đến việc stealing credentials và thiết lập persistent và stealthy access vào mạng nạn nhân, có thể là với mục đích espionage."
