Negli ultimi mesi, è emersa una nuova e preoccupante ondata di attacchi informatici che sfruttano vulnerabilità critiche di Microsoft SharePoint, mettendo a rischio numerose organizzazioni nel mondo. Recenti analisi di Microsoft hanno identificato un gruppo di cybercriminali denominato Storm-2603, sospettato di avere base in Cina, che sta utilizzando vulnerabilità di SharePoint per diffondere il ransomware Warlock sui sistemi non aggiornati. Questa campagna malevola sfrutta principalmente due falle, CVE-2025-49706 e CVE-2025-49704, che consentono rispettivamente spoofing e l’esecuzione remota di codice sui server SharePoint on-premises.

L’attacco: fasi e tecniche

L’attacco si sviluppa attraverso la distribuzione di un web shell denominato spinstall0.aspx, che permette agli hacker di ottenere l’accesso iniziale al sistema. Una volta compromesso il server, Storm-2603 avvia una serie di comandi di ricognizione, come whoami, per determinare i privilegi ottenuti. Gli aggressori utilizzano poi script batch e cmd.exe per espandere la loro presenza nella rete e tentano di disattivare le protezioni di Microsoft Defender tramite la modifica del Registro di Windows. Per mantenere una presenza persistente anche dopo interventi difensivi, vengono creati task pianificati e alterati componenti di Internet Information Services, consentendo l’avvio di assembly .NET sospetti.

Strumenti e movimenti laterali

Tra le tecniche avanzate utilizzate dagli attaccanti spicca l’uso di Mimikatz, un tool che permette di estrarre credenziali dalla memoria del servizio LSASS (Local Security Authority Subsystem Service), e strumenti come PsExec e Impacket per il movimento laterale all’interno della rete. Dopo aver acquisito privilegi elevati, Storm-2603 modifica le Group Policy Object (GPO) per distribuire il ransomware Warlock su tutti i sistemi compromessi, portando al blocco e alla richiesta di riscatto dei dati delle vittime.

Contesto e raccomandazioni

Il fenomeno ha già colpito oltre 400 organizzazioni e si inserisce in un contesto di attacchi più ampio che ha visto coinvolti anche altri gruppi noti come APT27 e APT31. Microsoft invita le aziende a mitigare il rischio aggiornando SharePoint all’ultima versione supportata, applicando le patch di sicurezza, abilitando e configurando correttamente l’Antimalware Scan Interface e distribuendo soluzioni di endpoint protection come Microsoft Defender. È inoltre consigliato il reset delle chiavi ASP.NET e il riavvio di IIS dopo ogni aggiornamento.

La rapida evoluzione di queste minacce sottolinea ancora una volta l’importanza di un approccio proattivo alla sicurezza informatica, soprattutto per chi gestisce infrastrutture esposte come SharePoint.