Grupos avançados de ameaças persistentes (APTs) associados à China estão explorando ativamente uma vulnerabilidade crítica no SAP NetWeaver, identificada como CVE-2025-31324, para comprometer sistemas fundamentais em diferentes países. Essa falha permite o envio não autenticado de arquivos maliciosos, resultando em execução remota de código (RCE), o que abre caminho para o controle total dos servidores afetados.
Grupos APTs chineses usam falha crítica no SAP para invadir redes estratégicas globais
A empresa EclecticIQ, por meio do pesquisador Arda Büyükkaya, revelou que o ataque comprometeu ao menos 581 instâncias do SAP NetWeaver, afetando desde infraestruturas de gás e água no Reino Unido, até ministérios governamentais na Arábia Saudita e empresas de petróleo e gás nos Estados Unidos.
As descobertas surgiram a partir da análise de um servidor com diretório exposto publicamente, operando no IP 15.204.56[.]106, onde estavam armazenados arquivos contendo logs de atividades em redes violadas, bem como uma lista de 800 domínios com SAP NetWeaver ativos, possíveis alvos futuros.
Grupos de ataque e técnicas empregadas
A EclecticIQ atribuiu os ataques aos grupos chineses UNC5221, UNC5174 e CL-STA-0048, conhecidos por explorar falhas em servidores como IIS, Apache Tomcat e MS-SQL para instalar shells da web e backdoors como o PlugX.
Os criminosos cibernéticos empregaram dois tipos de web shells após a invasão, garantindo acesso remoto contínuo e permitindo a execução de comandos arbitrários. Em ataques distintos:
- CL-STA-0048 tentou estabelecer um shell reverso com o IP
43.247.135[.]53, já relacionado a atividades maliciosas. - UNC5221 utilizou o malware KrustyLoader, escrito em Rust, para executar cargas maliciosas secundárias, manter persistência e executar comandos remotos.
- UNC5174 implantou o SNOWLIGHT, carregador que acessa um servidor remoto para baixar o trojan VShell e o backdoor GOREVERSE.
Exploração contínua e nova vulnerabilidade descoberta
Além das atividades dos grupos citados, outro grupo atribuído à China, conhecido como Chaya_004, também foi vinculado a ataques recentes, implantando um shell reverso em Go chamado SuperShell com base na mesma vulnerabilidade CVE-2025-31324.
A empresa SAP Onapsis observou uma crescente onda de exploração baseada em scripts públicos compartilhados por esses agentes, o que intensifica a disseminação dos ataques mesmo após o abandono inicial das instâncias.
Durante as investigações, foi identificada uma nova vulnerabilidade crítica, CVE-2025-42999, no componente Visual Composer Metadata Uploader. Essa falha de desserialização pode ser explorada por usuários autenticados para executar código malicioso, elevando ainda mais o risco para empresas que não atualizarem seus sistemas.
Recomendação urgente para empresas
Diante da gravidade dos ataques e do uso contínuo de brechas críticas no SAP NetWeaver, especialistas recomendam que todas as organizações que utilizam a plataforma atualizem suas instâncias imediatamente. A permanência em versões desatualizadas expõe empresas e governos a riscos elevados de espionagem, sabotagem e vazamento de dados sensíveis.
Com os APTs chineses mirando plataformas amplamente adotadas no mundo corporativo, como o SAP, a segurança de sistemas empresariais e infraestruturas nacionais se torna uma prioridade absoluta no cenário cibernético global.