Microsoft alertó la semana pasada que varios grupos de hackers presuntamente respaldados por el gobierno chino han explotado vulnerabilidades recién descubiertas en servidores locales del software SharePoint para infiltrarse en agencias gubernamentales, empresas y otras organizaciones.
La compañía identificó que las intrusiones comenzaron el pasado 7 de julio y que continúan activas, poniendo en riesgo datos sensibles a escala global.
La firma neerlandesa Eye Security anunció que, hasta la fecha, alrededor de 400 entidades han sufrido ataques relacionados con estas brechas y anticipa que el número podría “seguir aumentando a medida que continúen las indagaciones”. Según su análisis, la primera alerta se registró la noche del 18 de julio al detectar actividad inusual en un servidor, y el escaneo posterior de más de 8.000 instalaciones públicas reveló docenas de sistemas comprometidos.
La mayoría de las víctimas se ubican en Estados Unidos, según fuentes diplomáticas estadounidenses. La agencia Bloomberg reveló que la Administración Nacional de Seguridad Nuclear (NNSA, por sus siglas en inglés), responsable de supervisar el arsenal atómico estadounidense, está entre las organizaciones comprometidas. También se han registrado intrusiones en organismos de defensa, centros de planificación estratégica, instituciones de derechos humanos y empresas tecnológicas.
Según Microsoft, se ha detectado actividad por parte de tres colectivos: Linen Typhoon y Violet Typhoon, presuntamente financiados por Pekín, y Storm-2603, que posiblemente también opere desde territorio chino. Estas agrupaciones habrían utilizado mecanismos de falsificación de credenciales y ejecución de códigos maliciosos de forma remota para lograr un acceso inicial y extraer información crítica.
La vulnerabilidad explotada se localiza exclusivamente en las instalaciones on-premises de SharePoint, y no afecta a la plataforma en la nube de la compañía. Microsoft observó que, tras el acceso inicial, los intrusos establecían canales de comando y control para realizar exfiltraciones de datos y mantener persistencia. De esta forma, las solicitudes maliciosas enviadas a los servidores permitían robar documentos, credenciales de usuarios y otros materiales sensibles antes de ser detectados.
Para identificar la amenaza, Microsoft lanzó inmediatamente una serie de parches de seguridad y urgió a todos los administradores de SharePoint locales a instalarlos urgentemente. Advirtió que era muy probable que los grupos de amenazas seguirían intentando comprometer sistemas no actualizados, por lo que recomendó revisar los registros y emplear herramientas de detección avanzadas.
Cabe destacar que estos sucesos coinciden con diversos reportes que señalan el posible cierre del laboratorio de inteligencia artificial de Amazon en Shanghái y el desmantelamiento de sus operaciones locales. Asimismo, Microsoft e IBM han anunciado la reducción de sus proyectos de investigación y desarrollo basados en China, incluyendo iniciativas de automatización, análisis de datos e inteligencia artificial, respondiendo a las restricciones y a la intensa vigilancia impuesta por agencias federales estadounidenses a las empresas que colaboran en iniciativas de IA en el gigante asiático.
