Het is niet echt een verrassing, maar ten minste een van de actoren achter de eerste aanvallen via de Microsoft SharePoint zero-day waar momenteel veel over te doen is, wordt gezien als een zogeheten “China-nexus threat actor“.
We voorspelden het eerder vandaag al in ons uitgebreide artikel over de Microsoft SharePoint zero-day: gezien de doelgroepen van de aanvallen kunnen we de initiële aanvallers het beste zoeken binnen het domein van de statelijke actoren. Navraag bij Google Cloud’s Mandiant Consulting-afdeling van BleepingComputer bevestigt ons vermoeden. Chinese hackers worden expliciet aangewezen als daders.
Update: Inmiddels heeft ook Microsoft in een blogpost bevestigd dat het om Chinese aanvallers gaat.
“As early as July 7, 2025, Microsoft analysis suggests threat actors were attempting to exploit CVE-2025-49706 and CVE-2025-49704 to gain initial access to target organizations. These actors include Chinese state actors Linen Typhoon and Violet Typhoon and another China-based actor Storm-2603. The TTPs employed in these exploit attacks align with previously observed activities of these threat actors.“
Behalve de namen en rugnummers van de aanvallers, valt ons in bovenstaande passage ook op dat er al vanaf 7 juli pogingen waren om de zero-day in SharePoint te misbruiken. Dat strookt met wat wij gisteren ook al aangaven in een uitgebreid verhaal over de zero-day en de aanvallen die eruit voortkomen. We baseerden ons hierbij op een rapport van Check Point Research.
Lees ook: Microsoft SharePoint zero-day: wat weten we en waar ging het mis?
Meer aanvallers en aanvallen
Op zich was bovenstaande dus te verwachten. Inmiddels is het echter eigenlijk niet meer zo relevant voor organisaties die eventueel doelwit kunnen worden. De woordvoerder van Mandiant Consulting, CTO Charles Carmakal geeft namelijk ook aan dat er inmiddels meerdere partijen de zero-day aan het misbruiken zijn. Dat kunnen door andere landen gesponsorde aanvallers zijn, maar ook aanvallers zonder duidelijke binding met een specifiek land. Die laatste zullen er meer om andere redenen inzitten. IP-diefstal of het stelen van andere bedrijfsgeheimen kunnen enkele van deze redenen zijn.
Op GitHub is inmiddels een zogeheten PoC exploit beschikbaar voor CVE-2025-53770. Deze staat daar weliswaar ter educatie, maar is uiteraard ook toegankelijk voor mensen die er iets minder goede bedoelingen mee hebben. Dit zorgt er uiteindelijk voor dat meer aanvallers er eenvoudig mee aan de slag kunnen.
Uiteraard wordt er aan de andere kant ook hard gewerkt om alles dicht te krijgen. Deze uitbreiding van de beschikbaarheid hoeft dan ook niet per se te betekenen dat de olievlek alleen maar groter wordt. Het is dan echter wel zaak om alle on-premises Microsoft SharePoint-servers te voorzien van de patches. Zelfs als je denkt dat je er geen last van hebt of gaat hebben. Daarnaast is het ook belangrijk om de ASP.NET Machine keys te vernieuwen.