Microsoft, Çinli Devlet Korsanlarının SharePoint Açıklarını Kullandığını Açıkladı

Microsoft'un kritik yeni güncellemesi, belirli Çin ulus devlet tehdit gruplarının şirket içi SharePoint sunucularındaki güvenlik açıklarından aktif olarak yararlandığını ortaya koyuyor. Hackread.com'un dünya genelinde 100'den fazla kuruluşun güvenliğinin ihlal edildiğini vurgulayan önceki raporunun ardından, Microsoft, saldırıların arkasındaki kilit aktörleri tespit etti ve etkilenen tüm SharePoint sürümleri için kapsamlı güvenlik güncellemeleri yayınladı.

Devam eden siber saldırılar, saldırganların sistemleri kandırmasına olanak tanıyan bir sahtecilik açığı olan CVE-2025-49706 ve kötü amaçlı kodları uzaktan çalıştırmalarını sağlayan bir uzaktan kod yürütme (RCE) açığı olan CVE-2025-49704 olmak üzere iki farklı sıfırıncı gün açığından yararlanıyor. Bu açıklar, daha önce vurgulanan CVE-2025-53770 ve CVE-2025-53771 ile ilişkilidir.

Microsoft'un Tehdit İstihbarat birimi, Çinli ulus devlet aktörleri Linen Typhoon, Violet Typhoon ve Storm-2603 olarak takip edilen Çin merkezli bir başka grubun bu güvenlik açıklarından yararlandığını doğruladı . Gözlemlenen saldırılar, tehdit aktörlerinin keşif yapıp SharePoint sunucularındaki ToolPane uç noktasına özel olarak hazırlanmış POST istekleri göndermesiyle başlıyor.

Bu gruplar casusluk, fikri mülkiyet hırsızlığı ve sürekli olarak açık web altyapılarını hedef almalarıyla tanınıyor. Saldırılar yaygınlaşıyor ve CrowdStrike, 18 Temmuz 2025'ten bu yana 160'tan fazla müşteri ortamında yüzlerce saldırı girişimi gözlemledi .

2012'den beri faaliyet gösteren Linen Typhoon, hükümet, savunma ve insan hakları sektörlerinden fikri mülkiyet çalmaya odaklanıyor. 2015'ten beri takip edilen Violet Typhoon ise, genellikle güvenlik açıklarını tarayıp istismar ederek eski askerlere, STK'lara ve finans kuruluşlarına karşı casusluk yapma konusunda uzmanlaşıyor.

Storm-2603 daha önce Warlock ve Lockbit gibi fidye yazılımları kullanmış olsa da, bu SharePoint saldırılarıyla ilgili mevcut hedefleri hala değerlendiriliyor. Bu grupların faaliyetlerinin bir özeti aşağıdadır:

• Çin devlet destekli grup
• Daha önce Hafniyum olarak biliniyordu
• Hedef, Hükümet, savunma, STK'lar ve eğitime odaklanıyor
• ABD'nin kritik altyapılarına ve akademik kurumlarına yönelik saldırılarıyla tanınıyor
• Önemli etkinlikler arasında Microsoft Exchange güvenlik açıklarının ( ProxyLogon ) istismar edilmesi yer alıyor

• Çinli tehdit aktörü
• Daha önce APT41 olarak biliniyordu (aktiviteye bağlı olarak Barium veya Winnti olarak da bilinir)
• Devlet destekli casusluk ve finansal amaçlı saldırıların bir karışımıyla biliniyor
• Hedef sağlık, telekomünikasyon, yazılım ve oyun sektörlerine odaklanıyor
• Dikkat çekici etkinlik : tedarik zinciri ihlalleri, arka kapı yazılım güncellemeleri dahildir

• Çin bağlantılı olduğuna inanılıyor
• "Storm", Microsoft'un ortaya çıkan veya atıf yapılmamış gruplar için kullandığı geçici bir addır
• Microsoft ürünlerindeki sıfır gün güvenlik açıklarından yararlanmasıyla bilinir
• Hedef odak noktası hükümet ve kurumsal sistemleri içerir
• Durumu araştırılıyor ancak ilk göstergeler Çin menşeli olduğunu gösteriyor

Microsoft'un araştırmasına göre saldırganlar, kimlik doğrulamasını atlatabilen kritik IIS Makine Anahtarlarını çalmak için değiştirilmiş spinstall0.aspx dosyaları gibi web kabukları dağıtıyor ve ilk istismar girişimleri 7 Temmuz 2025'e kadar uzanıyor. Shadowserver Foundation'ın daha önce belirttiği gibi, bu kalıcı arka kapılar, bilgisayar korsanlarının sistemler güncellendikten sonra bile erişimi sürdürmelerine olanak tanıyor.