Kínai állami hackerek és komoly célpontok
A Microsoft és a Google is megerősítette, hogy a ToolShell nevű támadási láncot több kínai hátterű, államilag támogatott csoport, például a Linen Typhoon, a Violet Typhoon és a Storm-2603 is jelenleg használja. Az áldozatok között szerepel az Amerikai Nemzeti Nukleáris Biztonsági Hivatal (National Nuclear Security Administration), a floridai Adóhivatal, a Rhode Island-i Közgyűlés, valamint számos európai és közel-keleti kormányzati szervezet is. A vizsgálatok szerint legalább 400 szervert fertőztek meg, és több támadott szervezetnél huzamosabb ideig folyt a behatolás.
Sérülékenységek, javítócsomag és növekvő kockázat
A támadási hullám a CVE-2025-49706 és CVE-2025-49704 számú, nulladik napi sebezhetőségeket használja ki, és már a teljesen friss, frissített SharePoint rendszereket is veszélyezteti. Hollandiából indult el a célzott támadás első hulláma, melyet hamarosan jelentések követtek Észak-Amerikából és Nyugat-Európából, főként informatikai, kormányzati és telekommunikációs szervezeteknél. Az amerikai kibervédelmi hivatal (CISA) kiemelten veszélyesként jelölte meg a távoli kódvégrehajtást lehetővé tevő rést, 24 órán belül elvárva minden szövetségi intézménynél a rendszerbiztonság helyreállítását. Eközben háromszorosára nőtt a jelszótárolók elleni célzott támadások száma, miközben rejtett módon fértek hozzá kritikus infrastruktúrákhoz a Szupertolvaj (Perfect Heist) típusú támadások révén az MI-vezérelt kártékony programok.
