Se dice que al menos dos grupos de delitos cibernéticos diferentes Bianlian y Ransomexx explotaron una falla de seguridad recientemente revelada en SAP Netweaver rastreado como CVE-2025-31324, lo que indica que múltiples actores de amenazas están aprovechando el error.
La firma de ciberseguridad Reliaquest, en una nueva actualización publicada hoy, dijo que descubrió evidencia que sugiere la participación del equipo de extorsión de datos de Bianlian y la familia de ransomware RansomExx, que trazó Microsoft bajo el apodo de la tormenta-2460.
Se evalúa que Bianlian participa en al menos un incidente basado en enlaces de infraestructura a direcciones IP previamente identificadas como atribuidas al grupo de delitos electrónicos.
«Identificamos un servidor en 184 (.) 174 (.) 96 (.) 74 Hosting Services de proxy inverso iniciados por el ejecutable Rs64.Exe», dijo la compañía. «Este servidor está relacionado con otra IP, 184 (.) 174 (.) 96 (.) 70, operado por el mismo proveedor de alojamiento. La segunda IP había sido marcada previamente como un servidor de comando y control (C2) asociado con Bianlian, compartiendo certificados y puertos idénticos».
Reliaquest dijo que también observó el despliegue de un troyano basado en complementos denominado Pipemagic, que se utilizó más recientemente en relación con la explotación del día cero de un error de escalada de privilegios (CVE-2025-29824) en el Sistema de archivos de registro comunes de Windows (CLF) en las entidades de ataques limitados en los EE. UU. En los Estados Unidos, Venezuela, Spain y Saudi Arabia.
Los ataques involucraron la entrega de Pipemagic por medio de conchas web cayeron después de la explotación de la falla de SAP Netweaver.
«Aunque el intento inicial falló, un ataque posterior implicó el despliegue del marco Brute Ratel C2 utilizando la ejecución de tareas de MSBuild en línea», dijo Reliaquest. «Durante esta actividad, se generó un proceso dllhost.exe, señalando la explotación de la vulnerabilidad de CLFS (CVE-2025-29824), que el grupo había explotado previamente, siendo este un nuevo intento de explotarla a través del ensamblaje en línea».
Los hallazgos se producen un día después de que Eclecticiq reveló que múltiples grupos de piratería chinos rastreados como UNC5221, UNC5174 y CL-STA-0048 están explotando activamente CVE-2025-31324 para eliminar varias cargas maliciosas.
La compañía de seguridad de SAP, Onapsis, reveló que los actores de amenaza también han estado explotando CVE-2025-31324 junto con una falla de deserialización en el mismo componente (CVE-2025-42999) desde marzo de 2025, agregando el nuevo parche fija la causa raíz de CVE-2025-31324.
«Hay poca diferencia práctica entre CVE-2025-31324 y CVE-2025-42999 siempre que CVE-2025-31324 esté disponible para su explotación», dijo Reliaquest en un comunicado compartido con Hacker News.
«CVE-2025-42999 indica que se requerirían privilegios más altos, sin embargo, CVE-2025-31324 proporciona acceso completo al sistema independientemente. Un actor de amenaza podría explotar ambas vulnerabilidades en un usuario autenticado y no autorenticado de la misma manera. Por lo tanto, el consejo de remediación es el mismo para ambos CVE».