کمیته رکن چهارم– گروههای تهدید سایبری وابسته به دولت چین با سوءاستفاده از یک آسیبپذیری در نرمافزار SharePoint شرکت مایکروسافت، به شبکههای چند نهاد مهم از جمله یک شرکت مخابراتی در خاورمیانه و چند سازمان دولتی در آفریقا و آمریکای جنوبی نفوذ کردهاند.
به گزارش کمیته رکن چهارم، این حملات پس از افشای عمومی آسیبپذیری CVE-2025-53770 در ژوئیه ۲۰۲۵ و با وجود ارائه وصله امنیتی از سوی مایکروسافت انجام شده است. این نقص امنیتی در نسخههای نصبشده محلی SharePoint به مهاجمان امکان اجرای کد از راه دور و دور زدن احراز هویت را میدهد. حملهها علاوه بر خاورمیانه، نهادهایی در آفریقا، اروپا، آمریکای جنوبی و یک دانشگاه در ایالات متحده را نیز هدف قرار دادهاند.
تعدادی از این حملات توسط گروههایی چون Linen Typhoon، Violet Typhoon و Storm-2603 انجام شده که پیشتر نیز از این آسیبپذیری بهعنوان روز-صفر استفاده کرده بودند. همچنین گروه دیگری با نام Salt Typhoon از این ضعف برای استقرار بدافزارهایی مانند ShadowPad، Zingdoor و KrustyLoader در سیستمهای هدف استفاده کرده است.
در برخی از حملات، مهاجمان از روشهایی مانند بارگذاری جانبی فایل DLL، بهرهبرداری از آسیبپذیریهای ColdFusion، و ابزارهایی چون PetitPotam برای ارتقای سطح دسترسی و نفوذ به دامنه استفاده کردهاند. همچنین با استفاده از ابزارهای بومی سیستمعامل، اقدام به اسکن شبکه، دانلود فایل و سرقت اطلاعات احراز هویت شده است.
بررسیها نشان میدهد هدف اصلی این حملات، سرقت اطلاعات حساس و ایجاد دسترسی مخفیانه و ماندگار در شبکههای قربانی بوده است. یافتههای تحلیلگران امنیتی نشاندهنده همپوشانی در روشها و اهداف با حملات پیشین گروه Glowworm است، اگرچه انتساب قطعی به یک گروه خاص هنوز ممکن نیست.
