Un actor de amenaza sin nombre vinculado a China denominado Chaya_004 se ha observado explotando una falla de seguridad recientemente revelada en SAP Netweaver.
Forescout Vedere Labs, en un informe publicado hoy, dijo que descubrió una infraestructura maliciosa que probablemente se asocia con el grupo de piratería armado CVE-2025-31324 (puntaje CVSS: 10.0) desde el 29 de abril de 2025.
CVE-2025-31324 se refiere a una falla crítica de SAP NetWeaver que permite a los atacantes lograr la ejecución de código remoto (RCE) cargando los shells web a través de un punto final «/Developmentserver/metadatauploader».
La vulnerabilidad fue marcada por primera vez por Reliaquest a fines del mes pasado, cuando encontró que la deficiencia fue abusada en ataques del mundo real por actores de amenaza desconocidos para que eliminen los proyectiles web y el marco Brute Ratel C4 después de la explotación.
Según Onapsis, cientos de sistemas de SAP a nivel mundial han sido víctimas de ataques que abarcan industrias y geografías, incluidas energía y servicios públicos, fabricación, medios y entretenimiento, petróleo y gas, productos farmacéuticos, minoristas y organizaciones gubernamentales.
La firma de seguridad de SAP dijo que observó la actividad de reconocimiento que involucraba «pruebas con cargas útiles específicas contra esta vulnerabilidad» contra sus honeypots hasta el 20 de enero de 2025. Se observaron compromisos exitosos en la implementación de proyectiles web entre el 14 de marzo y el 31 de marzo.
Mandiant, propiedad de Google, que también se dedica a los esfuerzos de respuesta a incidentes relacionados con estos ataques, tiene evidencia de explotación que ocurre el 12 de marzo de 2025.
En los últimos días, se dice que los actores de múltiples amenazas saltaron a bordo del tren de explotación para atacar de manera oportunista a los sistemas vulnerables para implementar proyectiles web e incluso minar la criptomoneda.
Esto, según forescout, también incluye Chaya_004, que ha alojado un shell inverso basado en la web escrito en Golang llamado SuperShell en la dirección IP 47.97.42 (.) 177. La compañía de seguridad de la tecnología operativa (OT) dijo que extrajo la dirección IP de un binario ELF llamado Config que se usó en el ataque.
«En la misma dirección IP que aloja SuperShell (47.97.42 (.) 177), también identificamos varios otros puertos abiertos, incluidos 3232/http utilizando un certificado anomaloso de autofirmado que se hace pasar por CloudFlare con las siguientes propiedades: Sujeto DN: C = US, O = O = Inc, Inc, CN =: 3232,» Forescout Investigadores y Luca BarbAs.
Un análisis posterior ha descubierto que el actor de amenazas debe ser alojamiento de varias herramientas a través de la infraestructura: NPS, VPN suave, huelga de cobalto, faro de reconocimiento de activos (ARL), Pocassit, Gosint y Go Simple Tunnel.
«El uso de proveedores de nubes chinos y varias herramientas en idioma chino apuntan a un actor de amenaza que probablemente se basa en China», agregaron los investigadores.
Para defenderse de los ataques, es esencial que los usuarios apliquen los parches lo antes posible, si no aún, restringen el acceso al punto final del cargador de metadatos, deshabilite el servicio de compositor visual si no está en uso y monitorea para una actividad sospechosa.
Onapsis CTO Juan Pablo JP Perez-Detchegoyen le dijo a The Hacker News que la actividad destacada por Froscout es después del parar, y que «expandirá aún más la amenaza de aprovechar los shells implementados no solo a los actores oportunistas (y potencialmente menos sofisticados), sino también a los más avanzados y más avanzados han sido rápidos a este problema a los compromisos existentes existentes como los comprandados existentes) y más a más de la amenaza», sino que más avanzados han sido rápidos a este problema a los compromisos existentes existentes.