Investigadores de seguridad de Forescout Vedere Labs han vinculado los ataques en curso dirigidos a una vulnerabilidad de máxima gravedad que afecta a las instancias de SAP NetWeaver con un actor de amenazas chino.

SAP lanzó un parche de emergencia fuera de banda el 24 de abril para abordar esta falla de seguridad de carga de archivos no autenticados (identificada como CVE-2025-31324) en SAP NetWeaver Visual Composer, días después de que la empresa de ciberseguridad ReliaQuest detectara por primera vez la vulnerabilidad como objetivo de los ataques.

Su explotación exitosa permite a atacantes no autenticados cargar archivos maliciosos sin iniciar sesión, lo que les permite obtener ejecución remota de código y potencialmente comprometer completamente el sistema.

ReliaQuest informó que los sistemas de varios clientes fueron vulnerados mediante cargas de archivos no autorizadas en SAP NetWeaver. Los actores de amenazas subieron shells web JSP a directorios públicos, así como la herramienta de equipo rojo Brute Ratel, en la fase posterior a la explotación de sus ataques. Los servidores SAP NetWeaver comprometidos fueron completamente parcheados, lo que indica que los atacantes utilizaron un exploit de día cero.

Esta actividad de explotación también fue confirmada por otras empresas de ciberseguridad, como watchTowr y Onapsis, quienes confirmaron que los atacantes estaban cargando puertas traseras de shell web en instancias sin parches expuestas en línea.

Mandiant también observó ataques de día cero CVE-2025-31324 que se remontan al menos a mediados de marzo de 2025, mientras que Onapsis actualizó su informe original para indicar que su honeypot capturó por primera vez la actividad de reconocimiento y las pruebas de carga útil desde el 20 de enero, con intentos de explotación que comenzaron el 10 de febrero.

La Fundación Shadowserver está rastreando 204 servidores SAP NetWeaver expuestos en línea y vulnerables a ataques CVE-2025-31324.

Ataques más recientes, ocurridos el 29 de abril, se han vinculado a un actor de amenazas chino, identificado por Vedere Labs de Forescout como Chaya_004.

Estos ataques se lanzaron desde direcciones IP utilizando certificados autofirmados anómalos que suplantaban a Cloudflare, muchos de ellos pertenecientes a proveedores de nube chinos (por ejemplo, Alibaba, Shenzhen Tencent, Huawei Cloud Service y China Unicom).

El actor del mal, también implementó herramientas en chino durante las brechas, incluyendo un shell inverso web (SuperShell) desarrollado por un desarrollador de habla china.

Se recomienda a los administradores de SAP que parcheen inmediatamente sus instancias de NetWeaver, restrinjan el acceso a los servicios de carga de metadatos, monitoreen la actividad sospechosa en sus servidores y consideren deshabilitar el servicio Visual Composer si es posible.

La CISA también añadió la falla de seguridad CVE-2025-31324 a su Catálogo de Vulnerabilidades Explotadas Conocidas hace una semana, ordenando a las agencias federales estadounidenses que protejan sus sistemas contra estos ataques antes del 20 de mayo, según lo exige la Directiva Operacional Vinculante (BOD) 22-01.