Un defecto de seguridad crítico recientemente revelado que afecta a SAP NetWeaver está siendo explotado por múltiples actores de estado-estado de China-Nexus para atacar a las redes de infraestructura crítica.
“Los actores aprovecharon CVE-2025-31324, una vulnerabilidad de carga de archivos no autenticada que permite la ejecución de código remoto (RCE)”, dijo el investigador de Eclecticiq Arda Büyükkaya en un examen publicado hoy.
Los objetivos de la campaña incluyen redes de distribución de gas natural, servicios de diligencia de agua y diligencia de residuos integrados en el Reino Unido, plantas de fabricación de dispositivos médicos de exploración y producción de petróleo y producción en los Estados Unidos, y ministerios gubernamentales en Arabia Saudita que son responsables de la logística de inversión y la regulación financiera.
Los hallazgos se basan en un directorio expuesto públicamente descubierto en la infraestructura controlada por los atacantes (“15.204.56 (.) 106”) que contenía registros de eventos que capturaban las actividades en múltiples sistemas comprometidos.
La compañía de seguridad cibernética holandesa ha atribuido las intrusiones a los grupos de actividades de amenazas chinas rastreados como UNC5221, UNC5174 y CL-STA-0048, el final de los cuales se vinculó a ataques dirigidos a objetivos de parada valía en Asia del Sur de Asia explotando vulnerabilidades conocidas en el IIS de IIS, Apache Tomcat y los senderos de la Webs de la Webs a los platos.
Igualmente señaló que un actor de amenaza de China-Nexus sin categoría está llevando a parte una campaña generalizada de explotación y explotación de Internet contra los sistemas SAP Netweaver. Se ha contrario que el servidor alojado en la dirección IP “15.204.56 (.) 106” contiene múltiples archivos, que incluyen –
- “CVE-2025-31324-results.txt”, que ha registrado 581 instancias de SAP Netweaver comprometidas y traseras con un shell web
- “服务数据 _20250427_212229.txt”, que enumera 800 dominios que ejecutan SAP NetWeaver probablemente para una focalización futura
“La infraestructura expuesta de DIR abierta revela infracciones confirmadas y destaca los objetivos planificados del comunidad, ofreciendo una visión clara de las operaciones pasadas y futuras”, señaló Büyükkaya.
La explotación de CVE-2025-31324 es seguida por el actor de amenaza que implementa dos capas web que están diseñadas para amparar un camino remoto persistente a los sistemas infectados y ejecutar comandos arbitrarios.
Por otra parte, se han observado tres grupos de piratería chinos diferentes explotando la vulnerabilidad de SAP Netweaver como parte de los esfuerzos para amparar el camino remoto, realizar un examen y dejar programas maliciosos,
- CL-STA-0048, que ha intentado establecer una capa inversa interactiva a “43.247.135 (.) 53”, una dirección IP previamente identificada como utilizada por el actor de amenaza
- UNC5221, que ha estudioso un shell web para implementar KrustyLoader, un malware basado en el óxido que puede utilizar cargas efectos de segunda etapa como Sliver, configurar la persistencia y ejecutar comandos Shell
- UNC5174, que ha estudioso un shell web para descargar Snowlight, un cargador que inicia una conexión con un servidor codificado para obtener un troyano de camino remoto basado en GO llamado Vshell y una puerta trasera conocida como Goreverse
“Es muy probable que los APT vinculados a China continúen apuntando a aplicaciones empresariales expuestas a Internet y dispositivos de borde para establecer el camino decisivo y de persistencia a derrochador plazo a redes de infraestructura crítica a nivel mundial”, dijo Büyükkaya.
“Su enfoque en plataformas ampliamente utilizadas como SAP NetWeaver es un movimiento decisivo, ya que estos sistemas están profundamente integrados en entornos empresariales y, a menudo, alojan vulnerabilidades sin parpadear”.
SAP Patches New Netweaver Fow en mayo de 2025 Patch
La divulgación se produce días a posteriori de que otro actor de amenaza sin nombre vinculado por China denominado Chaya_004 asimismo se haya atribuido a la explotación de CVE-2025-31324 para desplegar un caparazón inverso basado en GO llamado SuperShell.
La firma de seguridad de SAP Onapsis dijo que está “viendo una actividad significativa de los atacantes que están utilizando información pública para desencadenar proyectiles web de explotación y despotismo de los atacantes originales, que actualmente se han oscurecido”.
Un examen posterior de estos ataques ha llevado al descubrimiento de otro defecto crítico en el componente del cargador de metadatos visuales del compositor de Netweaver. Rastreado como CVE-2025-42999 (puntaje CVSS: 9.1), se ha descrito como una vulnerabilidad de deserialización que podría ser explotada por un favorecido privilegiado para cargar contenido no confiable o receloso.
A la luz de la explotación activa continua, se recomienda a los clientes de SAP Netweaver que actualicen sus instancias a la última interpretación lo antaño posible.
