A Microsoft revelou que o grupo de cibercriminosos Storm-2603 está explorando vulnerabilidades críticas no SharePoint para distribuir o ransomware Warlock em sistemas locais desatualizados. O grupo, associado a atividades com motivação financeira e suspeito de operar a partir da China, já foi ligado anteriormente à disseminação dos ransomwares Warlock e LockBit.
Os ataques utilizam as falhas CVE-2025-49706 (falsificação) e CVE-2025-49704 (execução remota de código) para comprometer servidores SharePoint on-premises, implantando o web shell malicioso spinstall0.aspx. Com isso, os atacantes executam comandos via o processo w3wp.exe do SharePoint, iniciando ações de reconhecimento como o comando whoami para avaliar os privilégios do sistema. Storm-2603 aprofunda sua presença usando scripts em lote e cmd.exe, além de desativar proteções do Microsoft Defender via alterações no Registro do Windows. Persistência é mantida por meio da criação de tarefas agendadas e modificações em componentes do IIS, onde são carregadas assemblies .NET suspeitas.
O grupo também emprega ferramentas como Mimikatz para extrair credenciais da memória do LSASS, seguido por movimentação lateral com o uso do PsExec e do conjunto de ferramentas Impacket. Em seguida, modifica Políticas de Grupo (GPO) para distribuir o ransomware Warlock em todo o ambiente comprometido. A Microsoft recomenda atualizar o SharePoint para versões suportadas, aplicar as atualizações de segurança mais recentes, ativar a interface de verificação antimalware (AMSI), reiniciar o IIS após rotacionar as chaves ASP.NET e implementar planos eficazes de resposta a incidentes. Até agora, estima-se que pelo menos 400 sistemas tenham sido afetados por essas campanhas.
