Acteurs chinois exploitent ToolShell (CVE-2025-53770) pour cibler télécoms et agences gouvernementales

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basés en Chine ont mené une campagne multi-cibles exploitant la vulnérabilité ToolShell (CVE-2025-53770) peu après son correctif en juillet 2025, touchant un opérateur télécom au Moyen-Orient, des agences gouvernementales en Afrique et en Amérique du Sud, ainsi qu’une université américaine. L’activité montre un intérêt pour le vol d’identifiants et l’implantation d’accès persistants et furtifs, à des fins probables d’espionnage.

Les attaquants ont obtenu un accès initial via ToolShell sur des serveurs SharePoint on‑premise (exploité comme 0‑day avant patch), puis ont déployé des implants comme le backdoor Zingdoor (sideloading via un binaire Trend Micro légitime) et le trojan ShadowPad (chargeur sideloadé avec un binaire BitDefender légitime, SHA256: 3fc4f3ffce6188d3ef676f9825cdfa297903f6ca7f76603f12179b2e4be90134). Ils ont également utilisé KrustyLoader (stager en Rust) et le framework Sliver. Dans d’autres intrusions (notamment en Amérique du Sud et contre une université aux États‑Unis), des vulnérabilités d’SQL Server et d’Apache HTTP Server exécutant Adobe ColdFusion ont servi à livrer les charges malveillantes. Un binaire légitime BugSplat nommé « mantec.exe » a été utilisé pour sideloading DLL, le nom semblant imiter « symantec.exe » pour masquer l’activité.

Côté attribution, Zingdoor est historiquement associé au groupe chinois Glowworm (aka Earth Estries, FamousSparrow) et KrustyLoader a été lié à UNC5221. Microsoft a par ailleurs indiqué que Budworm (Linen Typhoon), Sheathminer (Violet Typhoon) et Storm‑2603 exploitaient ToolShell, ce dernier diffusant le rançongiciel Warlock. Des éléments probants suggèrent d’autres victimes: une agence technologique d’État en Afrique, un ministère au Moyen‑Orient et une entreprise financière en Europe. Le volume de victimes apparentes suggère un scan massif préalable, suivi d’actions sur les réseaux d’intérêt.

TTPs clés observés

• Exploitation de ToolShell (CVE-2025-53770) sur SharePoint on‑prem; vulnérabilité apparentée CVE-2025-53771 (path traversal) patchée simultanément; variantes d’anciennes failles CVE-2025-49704 et CVE-2025-49706.
• Déploiement de Zingdoor (Go, HTTP backdoor), ShadowPad (RAT modulaire, via DLL sideloading), KrustyLoader (stager Rust, anti‑analyse, téléchargement/décryptage de payloads), et Sliver (C2 open source).
• Outils et LOLBins: Certutil, GoGo Scanner, RevSocks, ProcDump, Minidump, LsassDumper.
• Exploitation interne: PetitPotam (CVE-2021-36942) pour usurpation LSA/vol d’identifiants, mouvement latéral/élévation de privilèges.
• Techniques de DLL sideloading via binaires Trend Micro/BitDefender; usage de S3 comme C2 pour KrustyLoader; mantec.exe (BugSplat légitime) pour sideload d’une DLL malveillante.

IoCs fournis

• Fichiers (SHA256):
  • 6240e39475f04bfe55ab7cba8746bd08901d7678b1c7742334d56f2bc8620a35 — LsassDumper
  • 929e3fdd3068057632b52ecdfd575ab389390c852b2f4e65dc32f20c87521600 — KrustyLoader
  • db15923c814a4b00ddb79f9c72f8546a44302ac2c66c7cc89a144cb2c2bb40fa — ShadowPad (probable)
  • e6c216cec379f418179a3f6a79df54dcf6e6e269a3ce3479fd7e6d4a15ac066e — ShadowPad Loader
  • 071e662fc5bc0e54bcfd49493467062570d0307dc46f0fb51a68239d281427c6 — Zingdoor
  • 1f94ea00be79b1e4e8e0b7bbf2212f2373da1e13f92b4ca2e9e0ffc5f93e452b — Exploit PetitPotam (CVE-2021-36942)
  • dbdc1beeb5c72d7b505a9a6c31263fc900ea3330a59f08e574fd172f3596c1b8 — RevSocks
  • 6aecf805f72c9f35dadda98177f11ca6a36e8e7e4348d72eaf1a80a899aa6566 — LsassDumper
  • 568561d224ef29e5051233ab12d568242e95d911b08ce7f2c9bf2604255611a9 — Socks Proxy
  • 28a859046a43fc8a7a7453075130dd649eb2d1dd0ebf0abae5d575438a25ece9 — GoGo Scanner
  • 7be8e37bc61005599e4e6817eb2a3a4a5519fded76cb8bf11d7296787c754d40 — Sliver
  • 5b165b01f9a1395cae79e0f85b7a1c10dc089340cf4e7be48813ac2f8686ed61 — ProcDump
  • e4ea34a7c2b51982a6c42c6367119f34bec9aeb9a60937836540035583a5b3bc — ProcDump
  • 7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1 — Minidump
  • 7acf21677322ef2aa835b5836d3e4b8a6b78ae10aa29d6640885e933f83a4b01 — mantec.exe (légitime)
  • 6c48a510642a1ba516dbc5effe3671524566b146e04d99ab7f4832f66b3f95aa — bugsplatrc.dll
• Réseaux:
  • http://kia-almotores.s3.amazonaws[.]com/sy1cyjt — C2 KrustyLoader
  • http://omnileadzdev.s3.amazonaws[.]com/PBfbN58lX — C2 KrustyLoader

Il s’agit d’une analyse de menace visant à documenter l’exploitation de ToolShell par des acteurs chinois, leurs outils, TTPs et les IoCs associés.

🧠 TTPs et IOCs détectés

TTPs

[‘Exploitation de ToolShell (CVE-2025-53770) sur SharePoint on-premise’, ‘Déploiement de Zingdoor (Go, HTTP backdoor)’, ‘Déploiement de ShadowPad (RAT modulaire, via DLL sideloading)’, ‘Utilisation de KrustyLoader (stager Rust, anti-analyse, téléchargement/décryptage de payloads)’, ‘Utilisation de Sliver (C2 open source)’, ‘Utilisation de Certutil, GoGo Scanner, RevSocks, ProcDump, Minidump, LsassDumper’, ‘Exploitation de PetitPotam (CVE-2021-36942) pour usurpation LSA/vol d’identifiants’, ‘Mouvement latéral/élévation de privilèges’, ‘Techniques de DLL sideloading via binaires Trend Micro/BitDefender’, ‘Usage de S3 comme C2 pour KrustyLoader’, ‘Utilisation de mantec.exe (BugSplat légitime) pour sideload d’une DLL malveillante’]

IOCs

{‘hash’: [‘6240e39475f04bfe55ab7cba8746bd08901d7678b1c7742334d56f2bc8620a35’, ‘929e3fdd3068057632b52ecdfd575ab389390c852b2f4e65dc32f20c87521600’, ‘db15923c814a4b00ddb79f9c72f8546a44302ac2c66c7cc89a144cb2c2bb40fa’, ’e6c216cec379f418179a3f6a79df54dcf6e6e269a3ce3479fd7e6d4a15ac066e’, ‘071e662fc5bc0e54bcfd49493467062570d0307dc46f0fb51a68239d281427c6’, ‘1f94ea00be79b1e4e8e0b7bbf2212f2373da1e13f92b4ca2e9e0ffc5f93e452b’, ‘dbdc1beeb5c72d7b505a9a6c31263fc900ea3330a59f08e574fd172f3596c1b8’, ‘6aecf805f72c9f35dadda98177f11ca6a36e8e7e4348d72eaf1a80a899aa6566’, ‘568561d224ef29e5051233ab12d568242e95d911b08ce7f2c9bf2604255611a9’, ‘28a859046a43fc8a7a7453075130dd649eb2d1dd0ebf0abae5d575438a25ece9’, ‘7be8e37bc61005599e4e6817eb2a3a4a5519fded76cb8bf11d7296787c754d40’, ‘5b165b01f9a1395cae79e0f85b7a1c10dc089340cf4e7be48813ac2f8686ed61’, ’e4ea34a7c2b51982a6c42c6367119f34bec9aeb9a60937836540035583a5b3bc’, ‘7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1’, ‘7acf21677322ef2aa835b5836d3e4b8a6b78ae10aa29d6640885e933f83a4b01’, ‘6c48a510642a1ba516dbc5effe3671524566b146e04d99ab7f4832f66b3f95aa’], ‘domaine’: [‘http://kia-almotores.s3.amazonaws.com/sy1cyjt’, ‘http://omnileadzdev.s3.amazonaws.com/PBfbN58lX’]}

---

🔗 Source originale : https://www.security.com/blog-post/toolshell-china-zingdoor

🖴 Archive : https://web.archive.org/web/20251023070222/https://www.security.com/blog-post/toolshell-china-zingdoor