Um total de 396 sistemas foram comprometidos globalmente após a exploração da vulnerabilidade zero day no Microsoft SharePoint, identificada como ToolShell (CVE-2025-53770/53771). A falha foi descoberta pela empresa holandesa Eye Security, que analisou 27 mil servidores SharePoint entre 18 e 23 de julho, identificando infecções em pelo menos 145 organizações em 41 países.
Os Estados Unidos lideram a lista de países mais afetados, com 31% dos casos confirmados. Embora não haja confirmação oficial, relatórios indicam que agências como o Departamento de Segurança Interna, o Departamento de Saúde e Serviços Humanos e até a Agência Nuclear dos EUA foram atingidas. O uso de servidores SharePoint on-premises por órgãos públicos é comum devido ao maior controle sobre dados sensíveis.
Segundo os pesquisadores, além do setor público, os alvos incluíram instituições de ensino (13%), provedores de SaaS (9%), empresas de telecomunicações (4%) e redes de energia (4%). A expectativa é que os ataques continuem nas próximas semanas, com riscos associados a ransomware e ameaças à cadeia de suprimentos. A Microsoft atribuiu os ataques iniciais a grupos vinculados à China, como Linen Typhoon, Violet Typhoon e Storm-2603. No entanto, os pesquisadores afirmam que, após a divulgação do zero day, a exploração se expandiu para grupos diversos, inclusive cibercriminosos com foco financeiro.
