Selon The Record, des intervenants en réponse à incident ont révélé que des agences gouvernementales situées en Afrique et en Amérique du Sud font partie d’une longue liste d’organisations compromises via l’exploitation d’une vulnérabilité dans Microsoft SharePoint.
Les hackers chinois exploitent la faille ToolShell pour cibler des gouvernements en Afrique et en Amérique du Sud
Des équipes de réponse à incident de Symantec et du Carbon Black Threat Hunter Team ont identifié une série d’intrusions contre des agences gouvernementales, opérateurs télécoms et universités dans plusieurs pays, liées à la vulnérabilité CVE-2025-53770 surnommée ToolShell, signalée pour la première fois par Microsoft en juillet 2025.
Trois groupes chinois, dont Linen Typhoon et Violet Typhoon, exploitent activement cette faille dans SharePoint on-premise, utilisé par des centaines d’administrations et d’entreprises dans le monde.
Les chercheurs ont documenté des compromissions en Afrique, Amérique du Sud, au Moyen-Orient et aux États-Unis, incluant des ministères, une entreprise de télécommunications et une université. Les analyses confirment une campagne d’espionnage à grande échelle, impliquant des outils malveillants déjà associés à des acteurs chinois tels que Zingdoor, ShadowPad et KrustyLoader. Ces implants permettent la collecte d’informations système, l’exfiltration de fichiers et la persistance sur les réseaux ciblés.
Selon les chercheurs, les attaquants ont probablement mené des scans massifs pour détecter les serveurs vulnérables, avant de concentrer leurs efforts sur des réseaux jugés stratégiques. Une fois infiltrés, ils cherchaient principalement à voler des identifiants et à maintenir un accès furtif et durable aux systèmes des victimes.
En parallèle, les analystes ont observé l’usage d’un ransomware baptisé Warlock, également attribué à un groupe chinois. Découvert en juin 2025, Warlock pourrait être une évolution du ransomware AnyLock, partageant des similitudes avec LockBit et Black Basta. Les chercheurs estiment que ses opérateurs sont actifs depuis 2019, agissant parfois comme contractants pour des opérations d’espionnage, tout en menant des attaques par rançongiciel à but lucratif.
Cette campagne illustre la montée en puissance des cyberopérations chinoises hybrides, combinant espionnage et extorsion, et souligne la nécessité d’une vigilance accrue pour les organisations utilisant SharePoint et autres solutions exposées à Internet.
Article de presse spécialisé visant à informer sur un incident de compromission en cours lié à l’exploitation d’une vulnérabilité SharePoint.
🔗 Source originale : https://therecord.media/sharepoint-toolshell-bug-breaches-governments-africa-south-america