Actualizas NetWeaver — los chinos cargan un backdoor. ¿Quién es el admin aquí y quién es solo un invitado?
20 empresas del Fortune 500 ya cayeron. Las demás simplemente aún no revisaron los registros.
Investigadores del laboratorio Vedere Labs de la empresa Forescout descubrieron un vínculo entre un ciberataque masivo a sistemas SAP NetWeaver y un grupo de hackers con origen en China. Una peligrosa vulnerabilidad en el software permite obtener control total sobre los sistemas corporativos.
Los desarrolladores de SAP reaccionaron ante la amenaza el 24 de abril, publicando una actualización urgente de seguridad para el componente Visual Composer de la plataforma NetWeaver. La brecha crítica, identificada como CVE-2025-31324, fue detectada por primera vez por especialistas de la empresa ReliaQuest unos días antes.
El problema radica en la posibilidad de cargar archivos maliciosos en los servidores corporativos sin necesidad de autenticación. Este acceso abre la puerta a la ejecución remota de código arbitrario y, como consecuencia, a la toma del control de toda la infraestructura.
El equipo de ReliaQuest registró una serie de infiltraciones exitosas en los sistemas de sus clientes. Los ciberdelincuentes colocaban shells web especiales escritos en JSP en directorios públicos, y en la siguiente etapa utilizaban la herramienta Brute Ratel para consolidar su presencia en el sistema. Es notable que los sistemas afectados de SAP NetWeaver contaban con todas las actualizaciones instaladas, lo que indica que se utilizó una vulnerabilidad de día cero.
La magnitud de la amenaza fue confirmada por otros expertos. Especialistas de watchTowr y Onapsis, por ejemplo, detectaron una instalación masiva de puertas traseras en instancias vulnerables del software accesibles desde internet.
Analistas de Mandiant rastrearon los primeros intentos de explotación de la brecha a mediados de marzo de 2025. Por su parte, la empresa Onapsis amplió el informe original: sus sistemas trampa registraron actividades de reconocimiento y pruebas de código malicioso desde el 20 de enero, mientras que los intentos dirigidos de intrusión comenzaron el 10 de febrero.
Actualmente, la Fundación Shadowserver monitorea 204 instancias no protegidas de SAP NetWeaver expuestas al riesgo de compromiso a través de CVE-2025-31324.
La situación resulta especialmente peligrosa para las grandes corporaciones. Según el director técnico de Onyphe, Patrice Auffret, alrededor de 20 empresas de las listas Fortune 500 y Global 500 están en riesgo, y muchas de sus infraestructuras ya fueron comprometidas. A finales de abril, se identificaron en la red 1284 instalaciones vulnerables de SAP NetWeaver, de las cuales 474 ya habían sido atacadas con éxito.
Una nueva ola de ciberataques, registrada el 29 de abril, llevó a los investigadores de Vedere Labs a una agrupación china identificada como Chaya_004. Sus operadores realizaban las acciones desde direcciones IP con certificados autofirmados inusuales que simulaban ser de Cloudflare. Lo llamativo es que la mayoría de estas direcciones pertenecían a servicios en la nube chinos como Alibaba, Shenzhen Tencent, Huawei Cloud Service y China Unicom.
Al infiltrarse en los sistemas, el grupo también utilizaba herramientas con interfaces en chino, incluida una shell web especializada llamada SuperShell para establecer acceso inverso al servidor, desarrollada por un autor de habla china.
"La infraestructura incluye una red de servidores con backdoors de Supershell instalados, alojados principalmente en proveedores de nube chinos. Además, se ha detectado un conjunto de herramientas para pruebas de penetración, muchas de las cuales también tienen origen chino."
Para protegerse de los ataques, se recomienda a los administradores de SAP actualizar inmediatamente el software NetWeaver, restringir las funciones de carga de metadatos, monitorear cuidadosamente cualquier actividad sospechosa y, si es posible, desactivar el servicio Visual Composer.
La agencia estadounidense CISA incluyó la vulnerabilidad CVE-2025-31324 en su lista de fallos activamente explotados hace una semana. Según la directiva BOD 22-01, las agencias federales de EE. UU. deben asegurar sus sistemas contra este tipo de ataques antes del 20 de mayo.
"Vulnerabilidades de este tipo son utilizadas regularmente por ciberdelincuentes y representan una seria amenaza para la infraestructura gubernamental", advierte la agencia.