Los sistemas SAP NetWeaver están profundamente integrados en entornos empresariales
Una falla de seguridad crítica recientemente revelada que afecta a SAP NetWeaver está siendo explotada por múltiples actores de estados-nación con vínculos con China para atacar redes de infraestructura críticas.
"Los actores aprovecharon CVE-2025-31324, una vulnerabilidad de carga de archivos no autenticados que permite la ejecución remota de código (RCE)", dijo el investigador de EclecticIQ Arda Büyükkaya en un análisis publicado hoy.
Los objetivos de la campaña incluyen redes de distribución de gas natural, servicios de agua y gestión integrada de residuos en el Reino Unido, plantas de fabricación de dispositivos médicos, empresas de exploración y producción de petróleo y gas en los Estados Unidos y ministerios gubernamentales en Arabia Saudita que son responsables de la estrategia de inversión y la regulación financiera.
Los hallazgos se basan en un directorio expuesto públicamente descubierto en la infraestructura controlada por el atacante ("15.204.56[.]106") que contenía registros de eventos que capturaban las actividades en múltiples sistemas comprometidos.
La empresa holandesa de ciberseguridad ha atribuido las intrusiones a grupos de actividades de amenazas chinas rastreadas como UNC5221, UNC5174 y CL-STA-0048, el último de los cuales estaba vinculado a ataques dirigidos a objetivos de alto valor en el sur de Asia mediante la explotación de vulnerabilidades conocidas en servidores públicos IIS, Apache Tomcat y MS-SQL para lanzar shells web, shells inversos y la puerta trasera PlugX.
También se indicó que un actor de amenazas no categorizado, vinculado con China, está llevando a cabo una campaña generalizada de escaneo y explotación de datos en internet contra los sistemas SAP NetWeaver. Se ha descubierto que el servidor alojado en la dirección IP "15.204.56[.]106" contiene varios archivos, entre ellos:
• "CVE-2025-31324-results.txt", que registró 581 instancias de SAP NetWeaver comprometidas y atacadas mediante una shell web.
• "服务数据_20250427_212229.txt", que enumera 800 dominios que ejecutan SAP NetWeaver y que probablemente serán atacados en el futuro.
"La infraestructura expuesta al descubierto revela vulneraciones confirmadas y destaca los objetivos planificados del grupo, ofreciendo una visión clara de las operaciones pasadas y futuras", señaló Büyükkaya.
La explotación de CVE-2025-31324 es seguida por el actor de amenazas que implementa dos shells web que están diseñados para mantener acceso remoto persistente a los sistemas infectados y ejecutar comandos arbitrarios.
Además, se ha observado a tres diferentes grupos de piratas informáticos chinos explotando la vulnerabilidad de SAP NetWeaver como parte de los esfuerzos para mantener el acceso remoto, realizar reconocimientos y eliminar programas maliciosos.
"Es muy probable que los APT vinculados a China sigan atacando aplicaciones empresariales y dispositivos periféricos expuestos en Internet para establecer un acceso estratégico y persistente a largo plazo a redes de infraestructura crítica a nivel mundial", afirmó Büyükkaya.
Su enfoque en plataformas ampliamente utilizadas como SAP NetWeaver es una decisión estratégica, ya que estos sistemas están profundamente integrados en entornos empresariales y a menudo presentan vulnerabilidades sin parchear.
