CVE-2025-53770

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basés en Chine ont mené une campagne multi-cibles exploitant la vulnérabilité ToolShell (CVE-2025-53770) peu après son correctif en juillet 2025, touchant un opérateur télécom au Moyen-Orient, des agences gouvernementales en Afrique et en Amérique du Sud, ainsi qu’une université américaine. L’activité montre un intérêt pour le vol d’identifiants et l’implantation d’accès persistants et furtifs, à des fins probables d’espionnage. ...

Selon l’extrait d’actualité fourni, le rançongiciel Warlock est attribué à un acteur basé en Chine et présente des liens avec des activités malveillantes remontant à 2019. Warlock est décrit comme une menace inhabituelle car, à la différence de nombreuses opérations de ransomware souvent associées à la CEI, il semble être utilisé par un groupe basé en Chine 🇨🇳. Bien que son nom soit nouveau (apparition en juin 2025), des connexions avec des activités antérieures et variées sont mentionnées. ...

Selon Rapid7, un rapport de menace détaille l’exploitation active de la vulnérabilité critique CVE‑2025‑53770 affectant Microsoft SharePoint, utilisée comme vecteur d’accès initial par des acteurs malveillants. Le risque est jugé élevé pour le secteur public, où SharePoint est largement déployé et manipule des données sensibles, dans un contexte de délais de remédiation serrés imposés par la CISA. 🚨 Impact et portée: des campagnes automatisées ciblent des serveurs SharePoint exposés sur Internet, suivies d’une exploitation « hands‑on‑keyboard ». Après compromission, les attaquants déploient des web shells, se déplacent latéralement et collectent des identifiants afin d’établir une persistance, ouvrant la voie à d’éventuels rançongiciels ou à l’exfiltration de données. De nombreuses organisations publiques locales et étatiques demeurent exposées. ...

SecurityAffairs rapporte que Colt Technology Services a confirmé une cyberattaque avec vol de données, alors que l’opérateur télécom s’emploie à rétablir des systèmes affectés depuis le 12 août 2025. L’attaque est « rapportée » comme liée au ransomware WarLock et a entraîné des pannes pluri-journalières sur les services hosting, porting, Colt Online et Voice API. Les assaillants ont mis des données volées en vente sur le forum Ramp. Colt a d’abord parlé d’un « problème technique » avant de confirmer l’incident cyber et d’indiquer que le cœur de son réseau n’était pas impacté. La société a notifié les autorités et n’a pas communiqué de calendrier de rétablissement. ⚠️ ...

Selon Trustwave SpiderLabs, une campagne baptisée « ToolShell » cible massivement des serveurs Microsoft SharePoint on‑premises via une chaîne de quatre vulnérabilités, dont CVE-2025-49706 et CVE-2025-53770, permettant un contournement d’authentification puis une exécution de code à distance (RCE). Des acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, exploitent activement ces failles pour obtenir et maintenir un accès persistant. 🚨 Le point d’entrée consiste à exploiter CVE-2025-49706 au moyen de requêtes POST spécialement conçues vers /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit, combinées à des en‑têtes Referer manipulés pour bypasser l’authentification. Les attaquants déploient ensuite des pages ASPX malveillantes (ex. spinstall0.aspx) afin d’extraire des clés cryptographiques SharePoint. ...

Eye Security a découvert une vulnérabilité 0-day critique dans SharePoint, identifiée comme CVE-2025-53770 et CVE-2025-53771, permettant une exécution de code à distance (RCE) sans authentification. Cette faille a été exploitée à grande échelle, compromettant plus de 400 systèmes à travers plusieurs vagues d’attaques. Les attaques ont commencé le 17 juillet 2025, avec une première vague détectée à partir de l’adresse IP 96.9.125[.]147. Les vagues suivantes ont été observées les 18, 19, et 21 juillet, avec des scripts d’exploitation publiés sur GitHub. Microsoft a publié des correctifs pour les versions vulnérables de SharePoint Server 2016/2019, mais les versions plus anciennes restent vulnérables. ...

Cisco Talos a rapporté l’exploitation active de deux vulnérabilités critiques de traversée de répertoires (CVE-2025-53770 et CVE-2025-53771) affectant les installations sur site de SharePoint Server. Ces vulnérabilités permettent une exécution de code à distance non authentifiée et sont liées à des vulnérabilités SharePoint précédemment divulguées. Microsoft a publié des mises à jour de sécurité pour la plupart des versions affectées, bien que SharePoint Server 2016 reste non corrigé. La CISA a confirmé des tentatives d’exploitation en cours, rendant la remédiation immédiate cruciale pour les organisations utilisant des serveurs SharePoint affectés. ...

L’article publié par Qualys Research met en lumière une alerte critique concernant des vulnérabilités zero-day dans Microsoft SharePoint Server. Microsoft a émis des correctifs d’urgence pour deux vulnérabilités activement exploitées : CVE-2025-53770, une vulnérabilité critique d’exécution de code à distance (RCE) avec un score CVSS de 9.8, et CVE-2025-53771, une vulnérabilité de falsification de gravité moyenne avec un score CVSS de 6.3. Ces failles affectent les versions SharePoint Server Subscription Edition, 2019 et 2016. ...