A Agência de Segurança Cibernética e Infraestrutura (CISA) lançou um relatório detalhado sobre o malware ToolShell, que alvos específicos do Microsoft SharePoint Server. O estudo inclui indicadores de comprometimento e regras de detecção em Sigma, uma标准 aberta para sistemas de log e detecção.
A vulnerabilidade crítica CVE-2025-53770, com pontuação CVSS de 9.8, foi explorada junto com outras brechas no pacote 'ToolShell'. Essas falhas foram usadas por grupos de ameaças como Linen Typhoon e Violet Typhoon para acessar servers on-premises.
A lista de vítimas inclui grandes nomes, como o Departamento de Energia dos EUA, que relatou uma invasão minimamente impactante. A data das explosões fez com que alguns pesquisadores suspeitassem de uma fuga de informações após um concurso privado de exploração.
Para aqueles preocupados em serem afetados, o relatório da CISA fornece ferramentas para análise e detecção. No entanto, é recomendável testar as regras Sigma antes de implementá-las, devido à possibilidade de impacto no desempenho.
