Het is niet echt een verrassing, maar ten minste een van de actoren achter de eerste aanvallen via de Microsoft SharePoint zero-day waar momenteel veel over te doen is, wordt gezien als een zogeheten “China-nexus threat actor“.
We voorspelden het eerder vandaag al in ons uitgebreide artikel over de Microsoft SharePoint zero-day: gezien de doelgroepen van de aanvallen kunnen we de initiële aanvallers het beste zoeken binnen het domein van de statelijke actoren. Navraag bij Google Cloud’s Mandiant Consulting-afdeling van BleepingComputer bevestigt ons vermoeden.
Meer aanvallers en aanvallen
Op zich was bovenstaande dus te verwachten. Inmiddels is het echter eigenlijk niet meer zo relevant voor organisaties die eventueel doelwit kunnen worden. De woordvoerder van Mandiant Consulting, CTO Charles Carmakal geeft namelijk ook aan dat er inmiddels meerdere partijen de zero-day aan het misbruiken zijn. Dat kunnen door andere landen gesponsorde aanvallers zijn, maar ook aanvallers zonder duidelijke binding met een specifiek land. Die laatste zullen er meer om andere redenen inzitten. IP-diefstal of het stelen van andere bedrijfsgeheimen kunnen enkele van deze redenen zijn.
Op GitHub is inmiddels een zogeheten PoC exploit beschikbaar voor CVE-2025-53770. Deze staat daar weliswaar ter educatie, maar is uiteraard ook toegankelijk voor mensen die er iets minder goede bedoelingen mee hebben. Dit zorgt er uiteindelijk voor dat meer aanvallers er eenvoudig mee aan de slag kunnen.
Uiteraard wordt er aan de andere kant ook hard gewerkt om alles dicht te krijgen. Deze uitbreiding van de beschikbaarheid hoeft dan ook niet per se te betekenen dat de olievlek alleen maar groter wordt. Het is dan echter wel zaak om alle on-premises Microsoft SharePoint-servers te voorzien van de patches. Zelfs als je denkt dat je er geen last van hebt of gaat hebben. Daarnaast is het ook belangrijk om de ASP.NET Machine keys te vernieuwen.