ToolShell, Zingdoor y ShadowPad: una única vulnerabilidad en SharePoint desató una ola mundial de ciberataques
Desde un webshell hasta el control total: cronología de una campaña de malware coordinada.
A mediados del verano de 2025 la vulnerabilidad ToolShell (CVE‑2025‑53770) se convirtió en el punto de partida de una gran ola de compromisos: los atacantes aprovecharon la falla en servidores SharePoint poco después de que Microsoft publicara parches y obtuvieron acceso no autenticado a archivos y ejecución de código. El primer caso documentado fue la compromisión de un operador de telecomunicaciones en Oriente Medio, donde los atacantes instalaron un web shell y empezaron a desplegar una carga útil ya el 21 de julio de 2025.
En varias intrusiones contra infraestructuras se emplearon herramientas avanzadas de carga y ocultación: mediante DLL Sideloading los atacantes cargaron la puerta trasera Zingdoor —un troyano HTTP escrito en Go, capaz de recolectar información del sistema, transferir archivos y ejecutar comandos— así como el RAT modular ShadowPad, observado previamente en campañas atribuidas a grupos chinos. El 25 de julio de 2025 se empleó KrustyLoader —un cargador en Rust que realiza antianálisis, autoeliminación y descarga de la segunda fase, incluido el framework Sliver, usado para gestionar canales de comunicación y comandos.
La operación no se limitó a Oriente Medio: resultaron afectados dos ministerios en un país africano, entidades en Sudamérica y una universidad en EE. UU.; en un caso los atacantes disfrazaron un archivo malicioso con el nombre mantec.exe, imitando componentes legítimos para ocultar su actividad. También hay rastros de compromisos en una entidad estatal del sector tecnológico en África y en una organización financiera en Europa. Se usaron herramientas LotL y utilidades —desde certutil hasta ProcDump y herramientas de volcado de LSASS— y para escalar privilegios se explotó el mecanismo PetitPotam.
El análisis indica un escaneo masivo en busca de la vulnerabilidad, seguido por la selección de objetivos de interés y la intención de mantener acceso prolongado y oculto para el robo de credenciales y el espionaje. Los investigadores de Symantec subrayan la superposición de herramientas y tácticas con operaciones anteriores; sin embargo, la atribución final permanece sin confirmación: todos los indicios apuntan a un grupo con vínculos con China.
Los indicadores de compromiso relativos a archivos y direcciones de red se han publicado para ayudar en la respuesta y en la detección de signos de intrusión: se recomienda a las organizaciones revisar registros, aplicar las actualizaciones de seguridad disponibles y auditar la integridad de los archivos ejecutables.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!