Se dice que al menos dos grupos de delitos cibernéticos diferentes Bianlian y Ransomexx explotaron un defecto de seguridad recientemente revelado en SAP Netweaver rastreado como CVE-2025-31324, lo que indica que los actores de amenazas múltiples están aprovechando el error.
La firma de ciberseguridad Reliaquest, en una nueva puesta al día publicada hoy, dijo que descubrió evidencia que sugiere la décimo del equipo de trastorno de datos de Bianlian y la comunidad de ransomware RansomExx, que trazó Microsoft bajo el apodo de la tormenta-2460.
Se evalúa que Bianlian participa en al menos un incidente basado en enlaces de infraestructura a direcciones IP previamente identificadas como atribuidas al liga de delitos electrónicos.
“Identificamos un servidor en 184 (.) 174 (.) 96 (.) 74 Hosting Services de proxy inverso iniciados por el ejecutable Rs64.Exe”, dijo la compañía. “Este servidor está relacionado con otra IP, 184 (.) 174 (.) 96 (.) 70, operado por el mismo proveedor de alojamiento. La segunda IP había sido marcada previamente como un servidor de comando y control (C2) asociado con Bianlian, compartiendo certificados y puertos idénticos”.
Reliaquest dijo que incluso observó el despliegue de un troyano basado en complementos denominado Pipemagic, que se utilizó más recientemente en relación con la explotación del día cero de un error de subida de privilegios (CVE-2025-29824) en el Sistema de archivos de registro comunes de Windows (CLF) en las entidades de ataques limitados en los EE. UU. En los Estados Unidos, Venezuela, Spain y Saudi Arabia.
Los ataques involucraron la entrega de Pipemagic por medio de conchas web cayeron posteriormente de la explotación de la defecto de SAP Netweaver.
“Aunque el intento original falló, un ataque posterior implicó el despliegue del entorno Brute Ratel C2 utilizando la ejecución de tareas de MSBuild en serie”, dijo Reliaquest. “Durante esta actividad, se generó un proceso dllhost.exe, señalando la explotación de la vulnerabilidad de CLFS (CVE-2025-29824), que el liga había explotado previamente, siendo este un nuevo intento de explotarla a través del ensamblaje en serie”.
Los hallazgos se producen un día posteriormente de que Eclecticiq reveló que múltiples grupos de piratería chinos rastreados como UNC5221, UNC5174 y CL-STA-0048 están explotando activamente CVE-2025-31324 para eliminar varias cargas maliciosas.
La compañía de seguridad de SAP, Onapsis, reveló que los actores de amenaza incluso han estado explotando CVE-2025-31324 cercano con una defecto de deserialización en el mismo componente (CVE-2025-42999) desde marzo de 2025, agregando el nuevo parche fija la causa raíz de CVE-2025-31324.
“Hay poca diferencia ejercicio entre CVE-2025-31324 y CVE-2025-42999 siempre que CVE-2025-31324 esté arreglado para su explotación”, dijo Reliaquest en un comunicado compartido con Hacker News.
“CVE-2025-42999 indica que se requerirían privilegios más altos, sin bloqueo, CVE-2025-31324 proporciona paso completo al sistema independientemente. Un actor de amenaza podría explotar ambas vulnerabilidades en un legatario autenticado y no autorenticado de la misma modo. Por lo tanto, el consejo de remediación es el mismo para los dos CVE”.
