مایکروسافت هشدار داده است که گروه هکری چینی Storm-2603 در حال سوءاستفاده فعال از آسیب‌پذیری‌های حیاتی در پلتفرم شیرپوینت خود برای استقرار باج‌افزار وارلاک است. این آسیب‌پذیری‌ها، از جمله CVE-2025-49704 و CVE-2025-49706، حتی پس از انتشار وصله‌های امنیتی در ژوئیه، همچنان مورد بهره‌برداری قرار می‌گیرند و دور زدن‌هایی برای آن‌ها نیز کشف شده است. این حملات سرورهای شیرپوینت محلی و متصل به اینترنت را هدف قرار می‌دهند و مایکروسافت دو عامل دولتی چینی دیگر به نام‌های Linen Typhoon و Violet Typhoon را نیز در حال بهره‌برداری از این آسیب‌پذیری‌ها مشاهده کرده است.

Storm-2603، که مایکروسافت آن را با اطمینان متوسط یک عامل تهدیدکننده مستقر در چین ارزیابی می‌کند، در گذشته نیز باج‌افزارهای وارلاک و لاک‌بیت را مستقر کرده است. فعالیت‌های این گروه شامل تلاش برای سرقت MachineKeys با استفاده از آسیب‌پذیری‌های شیرپوینت می‌شود، هرچند اهداف فعلی آن به طور کامل مشخص نیست.

برای کاهش خطر، مایکروسافت به سازمان‌ها توصیه می‌کند که از آخرین نسخه شیرپوینت استفاده کنند. همچنین، یکپارچه‌سازی و فعال‌سازی رابط اسکن بدافزار (AMSI) و آنتی‌ویروس مایکروسافت دیفندر (یا راه‌حل‌های معادل) برای تمام استقرارهای شیرپوینت محلی و پیکربندی AMSI در حالت کامل ضروری است. چرخاندن کلیدهای ماشین ASP.NET سرور شیرپوینت، راه‌اندازی مجدد سرویس‌های اطلاعات اینترنتی (IIS) و استقرار مایکروسافت دیفندر برای نقطه پایانی نیز توصیه می‌شود. تحقیقات مایکروسافت در این زمینه ادامه دارد.