Microsoft ha confermato che tre gruppi di cybercriminali cinesi hanno sfruttato le vulnerabilità di SharePoint per eseguire attacchi contro centinaia di server (anche con ransomware). Secondo le fonti di Bloomberg, l’azienda di Redmond avrebbe avviato un’indagine per verificare una possibile divulgazione delle informazioni.
Leak delle aziende di cybersicurezza cinesi?
Il Microsoft Active Protections Program (MAPP) è un programma che permette ai fornitori dei software di sicurezza di ricevere in anticipo le informazioni sulle vulnerabilità in modo da offrire una protezione più rapida ai clienti. Le aziende che partecipano al MAPP devono sottoscrivere un accordo di non divulgazione e rispettare varie condizioni.
Queste aziende ricevono informazioni sulle vulnerabilità e le relative patch 24 ore prima il rilascio pubblico (alcune di esse anche 5 giorni prima). Le due vulnerabilità di SharePoint Server erano incluse nella notifica MAPP di luglio. Microsoft ha pubblicato i dettagli delle vulnerabilità CVE-2025-49706 e CVE-2025-49704 l’8 luglio (successivamente aggiornate con CVE-2025-53770 e CVE-2025-53771). Gli attacchi sono iniziati il 7 luglio, quindi non sembra una coincidenza casuale.
Forse i cybercriminali hanno trovato i bug senza aiuto esterno, ma c’è il sospetto che le informazioni siano state divulgate da una o più aziende cinesi iscritte al MAPP. Una legge cinese del 2021 impone alle aziende di inviare i dettagli delle vulnerabilità al Ministero dell’industria e information technology entro 48 ore dalla scoperta. Una delle aziende coinvolte nel programma del governo cinese, ovvero Beijing CyberKunlun Technology, è iscritta al MAPP.
Nell’elenco ufficiale ci sono altre aziende cinesi. L’eventuale leak non sarebbe un caso isolato. È già accaduto nel 2021, quando due aziende cinesi hanno divulgato i dettagli delle vulnerabilità di Exchange Server, sfruttate dai cybercriminali del gruppo Hafnium (finanziato dal governo cinese).