Volgens Microsoft zouden zeker drie e-kraakgroepen uit China actief gebruik hebben gemaakt van de lekken in SharePoint. Ook zouden ten minste vierhonderd bedrijven en organisaties slachtoffer zijn geweest van die aanvallen volgens het Nederlandse digitale-veiligheidsbedrijf Eye Security, de meeste in de VS. Zo zou ook de Amerikaanse toezichthouder op kernwapens (National Nuclear Security Administration) zijn getroffen.
Microsoft stelt dat het gaat om door China ondersteunde e-kraakgroepen aangeduid met Linen Typhoon en Violet Typhoon en de waarschijnlijk uit China afkomstige groep die Storm-2603 wordt genoemd. Voor een aantal bedrijven, waaronder McKinsey, zijn deze aanvallen aanleiding geweest activiteiten in China te schrappen of af te schalen. De aanvallen betrof met name bedrijven. Die maken veel gebruik van Sharepoint voor interne en externe communicatie.

Informatie stelen

Volgens Microsoft richt Linen Typhoon zich vooral op het stelen van informatie van organisaties die voor de overheid werken, maar ook die zich bezighouden met strategische planning en mensenrechten. De groep zou al sedert 2012 actief zijn.
Violet Typhoon zou in 2015 zijn begonnen met spionage in zowel overheids- als niet-gouvernementele en onderwijsorganisaties maar ook in media in de VS, Oost-Azië en Europa. De groep heeft een brede belangstelling voor, onder meer, financiële en gezondheidsgegevens. Naast Storm-2603 zou ook nog andere kraakgroepen actief kunnen zijn op het SharePointterrein, stelt Microsoft.