Eine koordinierte Cyberoffensive chinesischer Hackergruppen hat weltweit über 400 SharePoint-Server in 148 Organisationen kompromittiert. Die als ToolShell bezeichnete Angriffskampagne nutzt eine Kette kritischer Zero-Day-Schwachstellen und trifft besonders Regierungsbehörden, Telekommunikationsunternehmen und IT-Dienstleister in Nordamerika und Westeuropa.
Entstehung und Entwicklung der ToolShell-Bedrohung
Die ToolShell-Schwachstellenkette wurde erstmals im Mai 2025 von Sicherheitsforschern von Viettel Cyber Security auf der Pwn2Own Berlin demonstriert. Die Experten kombinierten zwei kritische Sicherheitslücken – CVE-2025-49706 und CVE-2025-49704 – um Remote Code Execution (RCE) Angriffe auf Microsoft SharePoint-Systeme durchzuführen.
Obwohl Microsoft bereits im Juli 2025 Sicherheitspatches veröffentlichte, entwickelten Angreifer schnell neue Exploits zur Umgehung der Schutzmaßnahmen. Dies führte zur Entdeckung zweier zusätzlicher Schwachstellen: CVE-2025-53770 mit einem kritischen CVSS-Score von 9,8 und CVE-2025-53771 mit einer Bewertung von 6,3 Punkten.
Umfang der Cyberbedrohung und betroffene Organisationen
Führende Cybersecurity-Unternehmen wie Cisco Talos, Check Point, CrowdStrike, Palo Alto Networks und SentinelOne bestätigen die aktive Ausnutzung der Schwachstellen seit dem 7. Juli 2025. Die Angriffe richten sich primär gegen Organisationen im Regierungs-, Telekommunikations- und IT-Sektor.
Besonders brisant ist die Kompromittierung des Netzwerks der US National Nuclear Security Administration (NNSA), der Behörde, die für die Verwaltung des amerikanischen Atomwaffenarsenals zuständig ist. Das US-Energieministerium bestätigte den am 18. Juli aufgetretenen Vorfall, betonte jedoch minimale Auswirkungen aufgrund der Nutzung von Microsofts M365-Cloud-Infrastruktur.
Identifizierte chinesische APT-Gruppen
Microsoft und Mandiant Consulting haben drei chinesische Advanced Persistent Threat (APT) Gruppen identifiziert, die aktiv ToolShell-Exploits einsetzen:
Linen Typhoon (auch bekannt als APT27, Bronze Union, Emissary Panda) gilt als eine der aktivsten chinesischen APT-Gruppen mit Fokus auf langfristige Spionageoperationen gegen westliche Ziele.
Violet Typhoon (APT31, Bronze Vinewood, Judgement Panda) wird den chinesischen Geheimdiensten zugeordnet und konzentriert sich hauptsächlich auf Regierungseinrichtungen und kritische Infrastrukturen.
Storm-2603 stellt eine weniger bekannte, aber hochgefährliche Gruppe dar, die ihr Angriffsspektrum durch ToolShell-Exploits erheblich erweitert hat.
Technische Schutzmaßnahmen und Empfehlungen
Microsoft hat Notfall-Patches für alle betroffenen SharePoint-Versionen bereitgestellt, einschließlich SharePoint Subscription Edition, SharePoint 2019 und SharePoint 2016. Neben der sofortigen Installation der Updates empfiehlt das Unternehmen dringend eine vollständige Rotation aller Sicherheitsschlüssel.
Kritisch wichtig ist die Integration und Aktivierung des Antimalware Scan Interface (AMSI) in Verbindung mit Microsoft Defender Antivirus im Full Mode für alle lokalen SharePoint-Implementierungen. Diese Konfiguration bietet erweiterten Schutz vor fileless Malware und Code-Injection-Angriffen.
Zukunftsprognosen und Risikobewertung
Die Veröffentlichung eines öffentlichen Proof-of-Concept-Exploits für CVE-2025-53770 auf GitHub verschärft die Bedrohungslage erheblich. Sicherheitsexperten prognostizieren eine dramatische Ausweitung des Angreiferkreises, da nun auch weniger erfahrene Cyberkriminelle Zugang zu funktionsfähigen Exploit-Codes haben.
Die ToolShell-Kampagne verdeutlicht die kritische Bedeutung proaktiver Sicherheitsmaßnahmen in modernen IT-Infrastrukturen. Organisationen müssen unverzüglich die verfügbaren Sicherheitsupdates implementieren, umfassende Sicherheitsaudits ihrer SharePoint-Umgebungen durchführen und ihre Netzwerküberwachung intensivieren, um Kompromittierungszeichen frühzeitig zu erkennen. Nur durch eine mehrschichtige Verteidigungsstrategie lassen sich solche hochentwickelten Cyberbedrohungen effektiv abwehren.