Microsoft révèle que des pirates informatiques chinois exploitent des failles de SharePoint

Une nouvelle mise à jour critique de Microsoft révèle que des groupes malveillants d'États-nations chinois exploitent activement les vulnérabilités de ses serveurs SharePoint sur site. Suite à un précédent rapport de Hackread.com, qui mettait en évidence la compromission de plus de 100 organisations dans le monde, Microsoft a identifié les principaux responsables de ces intrusions et publié des mises à jour de sécurité complètes pour toutes les versions de SharePoint concernées.

Les cyberattaques en cours exploitent deux failles zero-day distinctes : CVE-2025-49706 , une vulnérabilité d'usurpation d'identité permettant aux attaquants de tromper les systèmes, et CVE-2025-49704 , une vulnérabilité d'exécution de code à distance (RCE) permettant d'exécuter du code malveillant à distance. Ces failles sont liées aux failles CVE-2025-53770 et CVE-2025-53771 précédemment mises en évidence.

L'unité Threat Intelligence de Microsoft confirme que les groupes étatiques chinois Linen Typhoon, Violet Typhoon et un autre groupe basé en Chine, identifié comme Storm-2603, exploitent ces vulnérabilités. Les attaques observées commencent par des reconnaissances et l'envoi de requêtes POST personnalisées au point de terminaison ToolPane sur les serveurs SharePoint.

Ces groupes sont connus pour leurs activités d'espionnage, de vol de propriété intellectuelle et leur ciblage systématique des infrastructures web exposées. Les attaques sont généralisées : CrowdStrike a recensé des centaines de tentatives dans plus de 160 environnements clients depuis le 18 juillet 2025.

Active depuis 2012, Linen Typhoon se concentre sur le vol de propriété intellectuelle auprès des secteurs public, de la défense et des droits humains. Violet Typhoon, suivie depuis 2015, est spécialisée dans l'espionnage contre d'anciens militaires, des ONG et des institutions financières, souvent en recherchant et en exploitant les vulnérabilités.

Bien que Storm-2603 ait déjà déployé des rançongiciels comme Warlock et Lockbit, ses objectifs actuels avec ces exploits SharePoint sont encore en cours d'évaluation. Voici un résumé des activités de ces groupes :

• Groupe parrainé par l'État chinois
• Anciennement connu sous le nom de Hafnium
• L'objectif est de cibler le gouvernement, la défense, les ONG et l'éducation.
• Connu pour ses attaques contre les infrastructures critiques et les institutions universitaires américaines
• L'activité notable comprend les vulnérabilités exploitées de Microsoft Exchange ( ProxyLogon )

• Acteur de menace chinois
• Anciennement connu sous le nom d' APT41 (également connu sous le nom de Baryum ou Winnti, selon l'activité)
• Connu pour un mélange d'espionnage soutenu par l'État et d'attaques motivées par des raisons financières
• Target se concentre sur les secteurs de la santé, des télécommunications, des logiciels et des jeux
• Activité notable : comprend des compromissions de la chaîne d'approvisionnement et des mises à jour de logiciels par porte dérobée

• On pense qu'il est lié à la Chine
• « Storm » est un nom temporaire utilisé par Microsoft pour les groupes émergents ou non attribués
• Connu pour exploiter les vulnérabilités zero-day dans les produits Microsoft
• Les cibles ciblées incluent les systèmes gouvernementaux et d'entreprise
• Le statut est en cours d'investigation, mais les premiers indicateurs pointent vers une origine chinoise

Selon l'enquête de Microsoft, les attaquants déploient des shells Web, tels que des fichiers spinstall0.aspx modifiés, pour voler des clés de machine IIS critiques, qui peuvent contourner l'authentification, et les premières tentatives d'exploitation remontent au 7 juillet 2025. Comme indiqué précédemment par Shadowserver Foundation, ces portes dérobées persistantes permettent aux pirates de maintenir l'accès même après la mise à jour des systèmes.