Una operación amplia de espionaje cibernético dirigido al software de Microsoft Server ha comprometido a unas 100 organizaciones diferentes, dos de los grupos que ayudaron a descubrir la campaña.
Microsoft emitió el sábado una alerta sobre “ataques activos” en los servidores de SharePoint autohospedados, que las organizaciones utilizan ampliamente para compartir documentos y colaborar dentro de las organizaciones.
Las instancias de SharePoint corridas de los servidores de Microsoft no se vieron afectados.
Apodado un “día cero” porque aprovecha una debilidad digital previamente no revelada, los hacks permiten a los espías penetrar en servidores vulnerables y potencialmente dejar caer una puerta trasera para asegurar el acceso continuo a las organizaciones víctimas.
❗ Alerta ❗ El ACSC de ASD es consciente de una vulnerabilidad que afecta las instancias de los productos del servidor de Microsoft Office SharePoint. Las organizaciones deben tomar medidas inmediatas 👉 https://t.co/hb1atihewp pic.twitter.com/qqefolymb7— Dirección de señales australianas (@asdgovou) 20 de julio de 2025
Vaisha Bernard, el principal hacker de Eye Security, una firma de seguridad cibernética con sede en los Países Bajos, que descubrió la campaña de piratería dirigida a uno de sus clientes el viernes, dijo que un escaneo de Internet llevado a cabo con la Fundación Shadowserver había descubierto a casi 100 víctimas por completo, y eso fue antes de que la técnica detrás del hack era ampliamente conocida.
“Es inequívoco”, dijo Bernard.
“Quién sabe lo que otros adversarios han hecho desde entonces para colocar otras puertas traseras”.
Se negó a identificar a las organizaciones afectadas, diciendo que las autoridades nacionales pertinentes habían sido notificadas.
La Fundación Shadowserver confirmó la cifra 100 y dijo que la mayoría de los afectados estaban en los Estados Unidos y Alemania y que las víctimas incluían organizaciones gubernamentales.
Otro investigador dijo que, hasta ahora, el espionaje parecía ser el trabajo de un solo hacker o un conjunto de hackers.
“Es posible que esto cambie rápidamente”, dijo Rafe Pilling, directora de inteligencia de amenazas en Sophos, una firma de seguridad cibernética británica.
Microsoft dijo que había “proporcionado actualizaciones de seguridad y alienta a los clientes a instalarlos”, dijo un portavoz de la compañía en un comunicado enviado por correo electrónico.
No estaba claro quién estaba detrás del truco en curso.
El FBI dijo el domingo que estaba al tanto de los ataques y que estaba trabajando estrechamente con sus socios federales y privados, pero que no ofrecía otros detalles.
El Centro Nacional de Seguridad Cibernética del Reino Unido dijo en un comunicado que era consciente de “un número limitado” de objetivos en el Reino Unido.
Un investigador que rastrea la campaña dijo que la campaña apareció inicialmente dirigida a un estrecho conjunto de organizaciones relacionadas con el gobierno.
El conjunto de objetivos potenciales sigue siendo vasto.
Según los datos de Shodan, un motor de búsqueda que ayuda a identificar equipos vinculados a Internet, más de 8000 servidores en línea, teóricamente, podrían haber sido comprometidos por los piratas informáticos.
Esos servidores incluyen principales empresas industriales, bancos, auditores, compañías de atención médica y varias entidades gubernamentales a nivel estatal e internacional de los Estados Unidos.
“El incidente de SharePoint parece haber creado un amplio nivel de compromiso en una gama de servidores a nivel mundial”, dijo la consultora de ciberseguridad del Reino Unido Pwndefend.
“Tomar un enfoque de incumplimiento asumido es sabio, y también es importante entender que solo aplicar el parche no es todo lo que se requiere aquí”.
