Grupos avançados de ameaças persistentes (APTs) associados à China estão explorando ativamente uma vulnerabilidade crítica no SAP NetWeaver, identificada como CVE-2025-31324, para comprometer sistemas fundamentais em diferentes países. Essa falha permite o envio não autenticado de arquivos maliciosos, resultando em execução remota de código (RCE), o que abre caminho para o controle total dos servidores afetados.
Grupos APTs chineses usam falha crítica no SAP para invadir redes estratégicas globais
A empresa EclecticIQ, por meio do pesquisador Arda Büyükkaya, revelou que o ataque comprometeu ao menos 581 instâncias do SAP NetWeaver, afetando desde infraestruturas de gás e água no Reino Unido, até ministérios governamentais na Arábia Saudita e empresas de petróleo e gás nos Estados Unidos.
As descobertas surgiram a partir da análise de um servidor com diretório exposto publicamente, operando no IP 15.204.56[.]106, onde estavam armazenados arquivos contendo logs de atividades em redes violadas, bem como uma lista de 800 domínios com SAP NetWeaver ativos, possíveis alvos futuros.
Grupos de ataque e técnicas empregadas
A EclecticIQ atribuiu os ataques aos grupos chineses UNC5221, UNC5174 e CL-STA-0048, conhecidos por explorar falhas em servidores como IIS, Apache Tomcat e MS-SQL para instalar shells da web e backdoors como o PlugX.
Os criminosos cibernéticos empregaram dois tipos de web shells após a invasão, garantindo acesso remoto contínuo e permitindo a execução de comandos arbitrários. Em ataques distintos:
- CL-STA-0048 tentou estabelecer um shell reverso com o IP
43.247.135[.]53, já relacionado a atividades maliciosas. - UNC5221 utilizou o malware KrustyLoader, escrito em Rust, para executar cargas maliciosas secundárias, manter persistência e executar comandos remotos.
- UNC5174 implantou o SNOWLIGHT, carregador que acessa um servidor remoto para baixar o trojan VShell e o backdoor GOREVERSE.
Notícias Relacionadas
Falha crítica
Falha crítica no ASUS DriverHub expõe PCs a ataques remotos via navegador
Uma grave falha de segurança descoberta no ASUS DriverHub, ferramenta usada para gerenciamento de drivers, abriu brechas para que sites maliciosos executassem comandos com permissões administrativas em sistemas afetados. DriverHub da ASUS permite execução remota de código em PCs vulneráveis O alerta veio de Paul, pesquisador de segurança da Nova Zelândia conhecido como MrBruh, que […]
Segurança cibernética
Cisco fecha brecha crítica que permitia controle remoto total em controladores wireless
A Cisco anunciou a correção de uma vulnerabilidade extremamente grave no sistema IOS XE que afetava controladores de LAN sem fio. O problema, identificado como CVE-2025-20188, permitia que invasores remotos não autenticados tomassem o controle completo dos dispositivos afetados. Cisco elimina falha crítica que expunha dispositivos a controle remoto no IOS XE A falha está […]
Exploração contínua e nova vulnerabilidade descoberta
Além das atividades dos grupos citados, outro grupo atribuído à China, conhecido como Chaya_004, também foi vinculado a ataques recentes, implantando um shell reverso em Go chamado SuperShell com base na mesma vulnerabilidade CVE-2025-31324.
A empresa SAP Onapsis observou uma crescente onda de exploração baseada em scripts públicos compartilhados por esses agentes, o que intensifica a disseminação dos ataques mesmo após o abandono inicial das instâncias.
Durante as investigações, foi identificada uma nova vulnerabilidade crítica, CVE-2025-42999, no componente Visual Composer Metadata Uploader. Essa falha de desserialização pode ser explorada por usuários autenticados para executar código malicioso, elevando ainda mais o risco para empresas que não atualizarem seus sistemas.
Recomendação urgente para empresas
Diante da gravidade dos ataques e do uso contínuo de brechas críticas no SAP NetWeaver, especialistas recomendam que todas as organizações que utilizam a plataforma atualizem suas instâncias imediatamente. A permanência em versões desatualizadas expõe empresas e governos a riscos elevados de espionagem, sabotagem e vazamento de dados sensíveis.
Com os APTs chineses mirando plataformas amplamente adotadas no mundo corporativo, como o SAP, a segurança de sistemas empresariais e infraestruturas nacionais se torna uma prioridade absoluta no cenário cibernético global.
