Apelidada de “ToolShell”, esta campanha está ativa desde 7 de julho e tem como alvos principais infraestruturas governamentais, tecnológicas e de telecomunicações na América do Norte e Europa. Portugal é o segundo país mais visado, com 12% das tentativas registadas, ficando apenas atrás dos Estados Unidos (32%).

Os ataques, que se intensificaram nos dias 18 e 19 de julho, utilizam um webshell personalizado e exploram não só esta falha zero-day no SharePoint, mas também vulnerabilidades conhecidas na plataforma Ivanti Endpoint (CVE-2025-4427 e 4428). A técnica envolve desserialização insegura via VIEWSTATE, comprometendo a integridade dos sistemas atacados.

A Check Point recomenda medidas urgentes como: ativar proteção Anti-Malware, renovar chaves ASP.NET, restringir o acesso público ao SharePoint e garantir que o Quantum Gateway IPS está atualizado com o pacote 635254838, operando em modo de prevenção. Organizações que detetem atividade suspeita devem contactar de imediato as equipas de resposta a incidentes.

Segundo Lotem Finkelstein, diretor de Threat Intelligence na CPR, esta é uma ameaça ativa e grave, que já impactou dezenas de organizações sensíveis e exige ação imediata para mitigar riscos.