Hackers ligados à China exploram falha crítica recém-descoberta no Microsoft SharePoint
Pesquisadores de segurança do Google e da Microsoft confirmaram que grupos de hackers apoiados pelo Estado chinês estão explorando ativamente uma vulnerabilidade de dia zero no Microsoft SharePoint. A falha, catalogada como CVE-2025-53770, foi identificada no último fim de semana e afeta instalações autogerenciadas do software, usado por empresas e órgãos públicos para armazenar e compartilhar documentos internos.
De acordo com análises divulgadas pela Microsoft, o bug permite que invasores obtenham chaves privadas dos servidores comprometidos. Com essas credenciais, é possível inserir malware remotamente, acessar arquivos armazenados no SharePoint e se movimentar lateralmente pela rede, alcançando outros sistemas conectados. Por se tratar de um dia zero, não havia correção disponível quando as investidas começaram.
Três grupos atribuídos às invasões
A Microsoft relatou ter observado, desde 7 de julho, atividades de três coletivos patrocinados pela China. Os grupos identificados como Linen Typhoon e Violet Typhoon, já conhecidos por roubar propriedade intelectual e dados utilizados para espionagem, apareceram nos registros de ataque. Um terceiro agrupamento, classificado pela empresa como Storm-2603, também explorou a falha; esse último possui histórico associado a campanhas de ransomware, embora haja menos informações públicas sobre sua estrutura e objetivos.
Charles Carmakal, diretor de tecnologia da unidade de resposta a incidentes Mandiant, pertencente ao Google, confirmou que ao menos um dos operadores envolvidos mantém vínculos nítidos com a China. Segundo ele, múltiplos atores adotaram rapidamente o mesmo vetor de ataque, o que acelera a propagação da ameaça e amplia o número de alvos comprometidos.
Alvos e impacto já observados
Investigações preliminares indicam que dezenas de organizações, inclusive do setor governamental, já tiveram seus ambientes violados. O interesse em sistemas autogerenciados torna o cenário mais crítico, pois muitos servidores SharePoint mantidos internamente recebem atualizações com menor frequência ou seguem procedimentos de segurança menos rígidos do que ofertas em nuvem.
Embora a Microsoft tenha liberado correções para todas as versões afetadas do SharePoint, especialistas alertam que administradores devem presumir comprometimento caso o servidor tenha permanecido exposto até a aplicação do patch. Recomenda-se a revisão detalhada de logs, a rotação de certificados e senhas e a verificação de tráfego lateral na rede corporativa.
Contexto de longa data
A embaixada chinesa em Washington não respondeu a solicitações de comentário sobre as descobertas. O governo chinês tem rejeitado, de forma geral, acusações de envolvimento em ciberataques, embora raramente apresente negativas explícitas quando incidentes específicos são citados.
A nova ofensiva se soma a uma série de campanhas atribuídas a grupos chineses nos últimos anos. Em 2021, hackers associados à China foram responsabilizados por explorar vulnerabilidades em instâncias on-premises do Microsoft Exchange, episódio que comprometeu dados de mais de 60 mil servidores, segundo denúncia posterior do Departamento de Justiça dos Estados Unidos. Aquela operação, apelidada de Hafnium, visava acessar caixas de e-mail e listas de contatos de empresas e órgãos públicos em escala global.
Especialistas de segurança destacam que o padrão se repete: ataques contra produtos populares mantidos internamente, onde a aplicação de patches pode demorar e a visibilidade de eventuais invasões costuma ser limitada. A rapidez com que CVE-2025-53770 passou a ser explorada reforça a necessidade de programas de atualização contínua e monitoramento proativo.
Além de instalar o patch disponibilizado pela Microsoft, analistas recomendam segmentar redes, restringir privilégios de serviço e adotar autenticação multifator para reduzir o alcance de credenciais obtidas por meio da nova falha. Esses procedimentos devem ser implementados mesmo em ambientes aparentemente intocados, pois o caráter silencioso das investidas dificulta a detecção inicial.
Com a disponibilidade pública da correção, a expectativa é que tentativas automatizadas de varredura se intensifiquem nos próximos dias. Empresas que ainda não aplicaram a atualização correm risco elevado de sofrer acesso não autorizado, perda de propriedade intelectual e interrupções operacionais causadas por instalação de malware ou ransomware.
Até o momento, não há registro de vazamento de dados divulgado publicamente como resultado do CVE-2025-53770, mas consultorias de segurança alertam que informações capturadas podem vir a ser usadas em campanhas de espionagem ou extorsão no futuro. A recomendação geral permanece: aplicar o patch imediatamente e revisar detalhadamente qualquer indício de atividade suspeita em servidores SharePoint mantidos internamente.