Ten minste één van de actoren achter de recente aanvallen via de Microsoft SharePoint zero-day wordt toegeschreven aan een zogeheten China-nexus threat actor. Dit blijkt uit onderzoek na de eerste ontdekkingen van de kwetsbaarheid die op grote schaal wordt misbruikt. De betrokken hackers richten zich met deze exploit voornamelijk op specifieke doelgroepen, wat overeenkomt met patronen van eerder gesignaleerde aanvallen afkomstig uit China.

De zero-day in Microsoft SharePoint stelt kwaadwillenden in staat om interne systemen te compromitteren en toegang te verkrijgen tot gevoelige informatie binnen organisaties. Aangezien SharePoint wereldwijd veel wordt ingezet voor documentmanagement en samenwerking, vormt deze kwetsbaarheid een ernstige bedreiging. Experts waarschuwen dat de betrokken groep vermoedelijk gebruikmaakt van geavanceerde technieken en tactieken om detectie te voorkomen en langdurige toegang te behouden.

De aanwijzingen die leiden tot de koppeling met China-nexus groepen zijn gebaseerd op onder meer infrastructuur, malwarecode en operationele gewoonten die overeenkomen met bekende Chinese cybergroepen. Eerder werd al voorspeld dat dergelijke staatgestuurde actoren mogelijk betrokken zouden zijn bij deze zero-day-exploitaties, gezien het type aanvallen en de aanwezige politieke en economische motieven.

Microsoft heeft inmiddels patches en mitigatieadviezen uitgebracht om organisaties te helpen bij het beveiligen van hun systemen tegen deze kwetsbaarheid. Ondertussen blijven cybersecurityspecialisten de situatie nauwlettend volgen om verdere aanvallen in kaart te brengen en de betrokken dreigingsactoren beter te identificeren.