Uma nova campanha cibernética está explorando falhas críticas em servidores Microsoft SharePoint, comprometendo organizações em diferentes países. Segundo a Microsoft e empresas de segurança parceiras, os ataques estão sendo conduzidos por grupos ligados ao governo chinês, em uma operação identificada como ToolShell. A vulnerabilidade, registrada como CVE-2025-49704, permite execução remota de código em versões do SharePoint Server 2016, 2019 e na edição por assinatura. O problema afeta sistemas instalados localmente (on-premises) e expostos à internet sem as atualizações mais recentes.
Uma segunda falha, CVE-2025-49706, também está sendo explorada para contornar correções anteriores. De acordo com os pesquisadores, os invasores estão aproveitando as brechas para implantar backdoors, obter credenciais de administrador e movimentar-se lateralmente dentro das redes corporativas. O ataque começa com a exploração de endpoints vulneráveis e evolui para o roubo de informações confidenciais, espionagem industrial e, em alguns casos, implantação de ferramentas persistentes de acesso remoto. Entre os grupos citados pela Microsoft estão o Linen Typhoon (APT27), Violet Typhoon (APT31) e o Storm-2603, todos com histórico de campanhas de espionagem digital voltadas a instituições governamentais, empresas de tecnologia e provedores de serviços críticos. A empresa confirmou que os ataques vêm sendo realizados desde julho, mas intensificaram-se nas últimas semanas.
O impacto global é considerado severo, pois o SharePoint é amplamente usado para armazenamento de documentos, colaboração interna e integração com sistemas corporativos. Uma vez comprometido, o servidor pode servir de ponto de entrada para ataques em toda a infraestrutura da empresa. A Microsoft já liberou correções de emergência e recomenda que os administradores apliquem imediatamente os patches de segurança. Também é aconselhável revisar logs de acesso, monitorar requisições suspeitas e restringir o acesso externo aos servidores.
