La community OSINT ha reagito a tempo di record all’ondata di exploit contro SharePoint orchestrata dal gruppo Storm-2603, collegato alla Cina. In questo post vediamo come gli analisti hanno trasformato log pubblici, repository GitHub e feed di sicurezza in contromisure pratiche.
- Due vulnerabilità critiche (CVE-2025-49704 e CVE-2025-49706) consentono l’esecuzione di codice remoto su SharePoint on-premise.
- Microsoft, Unit 42 e CISA hanno confermato che i gruppi Linen Typhoon, Violet Typhoon e Storm-2603 le stanno già sfruttando per distribuire il ransomware Warlock.
Spunti di riflessione
- Monitorare indicatori di compromissione (hash, IP, web shell) pubblicati su X e nei blog di threat intel riduce i tempi di detection.
- La telemetria condivisa da GitHub (script di hunting per Defender e Splunk) mostra come l’OSINT diventi “codice” riutilizzabile.
- Integrare i feed CVE nei playbook SOAR permette di bloccare traffico sospetto verso /_layouts/15/workflow.aspx prima che venga lanciato il payload.
Quali procedure di escalation interfunzionali servono perché la tua azienda installi le patch di sicurezza entro 24 ore dal rilascio ufficiale?