ESET Research ha estado monitoreando los ataques que involucran las vulnerabilidades de día cero de la costa de herramientas recientemente descubierto 24 de julio de 2025 •, 5 min. Lea el 19 de julio de 2025, Microsoft confirmó que un conjunto de vulnerabilidades de día cero en SharePoint Server llamado Toolshell se está explotando en la naturaleza. Toolshell está compuesta por CVE-2025-53770, una vulnerabilidad de ejecución de código remoto y CVE-2025‑53771, un servidor que falsifica la vulnerabilidad. Estos ataques apuntan a los servidores de SharePoint en las instalaciones de Microsoft, específicamente aquellos que ejecutan la edición de suscripción de SharePoint, SharePoint 2019 o SharePoint 2016. SharePoint Online en Microsoft 365 no se ve afectado. La explotación de estas vulnerabilidades permite a los actores de amenaza ingresar a los sistemas restringidos y robar información confidencial. A partir del 17 de julio, Toolshell ha sido ampliamente explotado por todo tipo de actores de amenazas, desde pequeños ciberdelincuentes hasta grupos aptos para el estado-nación. Dado que SharePoint está integrado con otros servicios de Microsoft, como Office, Teams, OneDrive y Outlook, este compromiso puede proporcionar a los atacantes un asombroso nivel de acceso en la red afectada. Como parte del ataque, los actores de amenaza a menudo encadenan cuatro vulnerabilidades: el CVE-2025‑49704 y CVE-2025-49706 previamente parcheado, junto con el CVE-2025-53770 y CVE-2025-53771 ya mencionado. Al 22 de julio, CVE-2025‑53770 y CVE-2025-53771 también han sido reparados. WebShell Pay Lopers Exploting Toolshell permite a los atacantes omitir la autenticación de múltiples factores (MFA) y el inicio de sesión único (SSO). Después de entrar en el servidor objetivo, se vio a los atacantes implementando webshells maliciosas para extraer información del sistema comprometido. Uno de los scripts utilizados con frecuencia para este propósito se llama spinstall0.aspx, que rastreamos como msil/webshell.js. Además, el 22 de julio de 2025, observamos que los atacantes intentaron implementar otras redes web ASP simples capaces de ejecutar comandos suplicados por los atacantes a través de CMD.EXE. Estas redes web se implementaron utilizando los siguientes nombres de archivo: GhostFile346.aspx, GhostFile399.aspx, GhostFile807.aspx, GhostFile972.aspx y GhostFile913.aspx. Los productos ESET detectaron por primera vez un intento de explotar parte de la cadena de ejecución, la vulnerabilidad de SharePoint/Exploit.CVE-2025-49704, el 17 de julio en Alemania. Sin embargo, debido a que este intento fue bloqueado, la carga útil final de WebShell no se entregó al sistema objetivo. La primera vez que registramos la carga útil en sí fue el 18 de julio en un servidor en Italia. Como se ve en la Figura 1, desde entonces hemos observado la explotación activa de la costa de herramientas en todo el mundo, siendo Estados Unidos (13.3% de los ataques) el país más dirigido según nuestros datos de telemetría. Figura 1. Distribución geográfica de los ataques de cáscara de herramientas desde el 17 de julio de 2025 hasta el 22 de julio de 2025, Attack Monitoring Our Monitoring of the Toolshell Attacks del 17 al 22 de julio reveló que venían de las direcciones IP que se muestran en la Tabla 1 (todos los tiempos están en UTC). Tabla 1. Direcciones IP del atacante Dirección IP Ataque Fecha de inicio Ataque Fecha de finalización 96.9.125[.]147 2025-07-17 09:00 2025-07-17 16:00 107.191.58[.]76 2025-07-18 14:00 2025-07-18 20:00 104.238.159[.]149 2025-07-19 04:00 2025-07-19 09:00 139.59.11[.]66 2025-07-21 11:00 2025-07-21 16:00 154.223.19[.]106 2025-07-21 13:00 2025-07-22 18:00 103.151.172[.]92 2025-07-21 14:00 2025-07-21 16:00 45.191.66[.]77 2025-07-21 14:00 2025-07-22 07:00 83.136.182[.]237 2025-07-21 14:00 2025-07-21 16:00 162.248.74[.]92 2025-07-21 14:00 2025-07-21 17:00 38.54.106[.]11 2025-07-21 15:00 2025-07-21 15:00 206.166.251[.]228 2025-07-21 16:00 2025-07-22 16:00 45.77.155[.]170 2025-07-21 16:00 2025-07-21 19:00 64.176.50[.]109 2025-07-21 17:00 2025-07-22 17:00 149.28.17[.]188 2025-07-22 03:00 2025-07-22 03:00 173.239.247[.]32 2025-07-22 05:00 2025-07-22 05:00 109.105.193[.]76 2025-07-22 05:00 2025-07-22 16:00 2.56.190[.]139 2025-07-22 06:00 2025-07-22 07:00 141.164.60[.]10 2025-07-22 07:00 2025-07-22 18:00 124.56.42[.]75 2025-07-22 13:00 2025-07-22 18:00 La Figura 2 muestra la línea de tiempo de los ataques provenientes de las tres direcciones IP más activas. Figura 2. Ataques de las direcciones IP más activas observadas por hora (valores cero no mostrados) con respecto a Microsoft ha informado que varios actores de amenaza alineados en China se han unido a los intentos de explotación. Desde nuestro lado, detectamos una puerta trasera asociada con Luckymouse, un grupo cibernético que se dirige principalmente a gobiernos, compañías de telecomunicaciones y organizaciones internacionales, en una máquina en Vietnam dirigida a través de herramientas. En esta etapa, no está claro si el sistema se había comprometido previamente o si la puerta trasera se introdujo durante el ataque actual. Sin embargo, los grupos APT alineados por China ciertamente han aprovechado la oportunidad para agregar la cadena de exploit a sus arsenales: según nuestra telemetría, las víctimas de los ataques de la cáscara de herramientas incluyen varias organizaciones gubernamentales de alto valor que han sido objetivos de larga data de estos grupos. Dado que el gato está fuera de la bolsa ahora, esperamos que muchos más atacantes oportunistas aprovechen los sistemas sin parpadear. Los intentos de exploit están en curso y seguramente continuarán. Por lo tanto, si está utilizando el servidor de SharePoint, se recomienda lo siguiente (según la guía de Microsoft): use solo versiones compatibles, aplique las últimas actualizaciones de seguridad, asegúrese de que la interfaz de escaneo de antimalware esté activada y configurada correctamente, con una solución de seguridad cibernética apropiada y rotar las claves de la máquina ASP.NET de SharePoint Servidor. Para cualquier consulta sobre nuestra investigación publicada sobre Welives -Curity, comuníquese con nosotros en amenaza a amenazas@eset.com. ESET Research ofrece informes privados de inteligencia APT y feeds de datos. Para cualquier consulta sobre este servicio, visite la página de inteligencia de amenazas ESET. IOCS Una lista completa de indicadores de compromiso (COI) y muestras se pueden encontrar en nuestro repositorio de GitHub. Archivos SHA-1 Detección del nombre de archivo Descripción F5B60A8EAd96703080E73A1F79C3E70FF44DF271 SPINSTALL0.aspx MSIL/WebShell.JS WebShell desplegada a través de Sharepoint VulnerAdity Network IP Domain de hosting Proveedor de datos vistos por primera vez 96.9.125[.]147 N/A BL Networks 2025-07-17 Dirección IP de explotación de vulnerabilidades de SharePoint. 107.191.58[.]76 N/A The Constant Company, LLC 2025-07-18 Dirección IP que explota vulnerabilidades de SharePoint. 104.238.159[.]149 N/A The Constant Company, LLC 2025-07-19 Dirección IP de explotación de vulnerabilidades de SharePoint. 139.59.11[.]66 N/A Digitalocean, LLC 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 154.223.19[.]106 N/A Kaopu Cloud HK Limited 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 103.151.172[.]92 N/A Ikuuu Network Ltd 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 45.191.66[.]77 N/A Viaclip Internet y Telecommunications Ltda 2025-07-21 Dirección IP de explotación de vulnerabidades de SharePoint. 83.136.182[.]237 N/A Alina Gatsaniuk 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 162.248.74[.]92 N/A XTOM GMBH 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 38.54.106[.]11 N/A Kaopu Cloud HK Limited 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 206.166.251[.]228 N/A BL Networks 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 45.77.155[.]170 N/A Vultr Holdings, LLC 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 64.176.50[.]109 N/A The Constant Company, LLC 2025-07-21 Dirección IP de explotación de vulnerabilidades de SharePoint. 149.28.17[.]188 N/A The Constant Company, LLC 2025-07-22 Dirección IP de explotación de vulnerabilidades de SharePoint. 173.239.247[.]32 N/A GSL Networks Pty Ltd 2025-07-22 Dirección IP de explotación de vulnerabilidades de SharePoint. 109.105.193[.]76 N/A Haruka Network Limited 2025-07-22 Dirección IP de explotación de vulnerabilidades de SharePoint. 2.56.190[.]139 N/A Alina Gatsaniuk 2025-07-22 Dirección IP de explotación de vulnerabilidades de SharePoint. 141.164.60[.]10 N/A The Constant Company, LLC 2025-07-22 Dirección IP de explotación de vulnerabilidades de SharePoint. 124.56.42[.]75 N/A IP Manager 2025-07-22 Dirección IP de explotación de vulnerabilidades de SharePoint. Técnicas de Mitre ATT & CK Esta tabla fue construida utilizando la versión 17 del marco Mitre ATT & CK. ID de táctica Nombre Descripción Acceso inicial T1190 Explotación de la aplicación de la aplicación pública Los actores de amenaza de amenaza explotados por CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771 para compromentar los servidores de los microsofios de microsoft. Ejecución T1059.003 Comando e intérprete de secuencias de comandos: Windows Command Shell Las redes web implementadas Ejecutar comandos suplicados con atacantes a través de cmd.exe. Persistencia T1505.003 Componente del software del servidor: los actores de amenaza de shell web implementaron las redes web en servidores comprometidos. Recopilación de datos T1005 del sistema local Las redes web implementadas permiten a los atacantes extraer información de los sistemas comprometidos.