Microsoft ha emitido una alerta de seguridad tras detectar una campaña activa de ciberespionaje que ha evolucionado hacia el despliegue de ransomware, afectando a servidores SharePoint on-premises vulnerables. En una publicación en su blog oficial, la firma confirmó que el grupo de ciberamenazas identificado como Storm-2603, con presunta vinculación a China, está explotando dos vulnerabilidades críticas para introducir el ransomware Warlock, capaz de paralizar redes enteras a la espera de un pago en criptomonedas.
Aunque aún no se ha publicado la lista completa de víctimas, se ha confirmado que los Institutos Nacionales de Salud (NIH) de EE. UU. han sufrido la intrusión en uno de sus servidores. Según un portavoz del organismo, varios sistemas adicionales fueron aislados por precaución. Medios estadounidenses como The Washington Post, o NextGov han informado de que otras agencias gubernamentales también podrían haberse visto afectadas, incluyendo al Departamento de Seguridad Nacional (DHS), así como entre cinco y doce agencias federales adicionales. Hasta la fecha, y según distintos medios de comunicación, el ataque habría afectado a más de 400 empresas.
Las vulnerabilidades explotadas, identificadas como CVE-2025-49706 (suplantación) y CVE-2025-49704 (ejecución remota de código), afectan exclusivamente a entornos SharePoint locales y no tienen impacto en SharePoint Online de Microsoft 365. Microsoft ha publicado actualizaciones de seguridad críticas para las versiones compatibles de SharePoint Server (Subscription Edition, 2019 y 2016), que además corrigen vulnerabilidades relacionadas, como CVE-2025-53770 y CVE-2025-53771.
Además de Storm-2603, Microsoft ha identificado otros dos actores vinculados al gobierno chino, Linen Typhoon y Violet Typhoon, también implicados en la explotación de estos fallos. A diferencia de las operaciones habituales de espionaje estatal centradas en el robo de datos, el uso de ransomware representa un cambio de táctica con un potencial disruptivo grave, dependiendo de los sistemas comprometidos.
Microsoft ha actualizado su análisis con nueva inteligencia sobre indicadores de compromiso, técnicas de explotación, tácticas y recomendaciones de mitigación. En esta ocasión, la compañía hace especial hincapié en medidas como aplicar inmediatamente las actualizaciones de seguridad en servidores SharePoint locales; activar y configurar correctamente el Antimalware Scan Interface (AMSI) en modo completo, junto a Microsoft Defender Antivirus u otras soluciones equivalentes; rotar las claves ASP.NET de los servidores afectados; reiniciar el servicio IIS, acción destacada como crucial en las guías actualizadas; y desplegar Microsoft Defender for Endpoint para reforzar la protección proactiva.
El ataque se originó tras un parche incompleto de Microsoft que dejó una brecha en el software SharePoint. Tanto Microsoft como Alphabet han confirmado que grupos de origen chino están detrás de la explotación de la vulnerabilidad, algo que Pekín ha negado categóricamente.
Microsoft ha señalado que seguirá actualizando su blog con más información conforme avance la investigación, y urge a todas las organizaciones públicas y privadas que utilicen SharePoint on-premises a tomar medidas inmediatas para proteger sus sistemas.
