Una importante planta química perdió el control de su producción tras un ataque informático

Los especialistas de la empresa Darktrace detectaron un ataque dirigido contra una empresa química estadounidense, en el que los atacantes explotaron una vulnerabilidad crítica en la plataforma SAP NetWeaver. La amenaza, registrada como CVE-2025-31324, consistía en un error en el mecanismo de carga de archivos que permitía la ejecución remota de código en el servidor sin necesidad de autenticación. Aunque SAP publicó una actualización en abril, el incidente ocurrió precisamente cuando el parche aún no había sido instalado.

El ataque se desarrolló a lo largo de tres días. Los primeros indicios fueron actividades similares a un escaneo de reconocimiento sobre dispositivos accesibles desde Internet que, presuntamente, utilizaban SAP NetWeaver. Posteriormente se descubrió que los atacantes emplearon la vulnerabilidad identificada para cargar un archivo ejecutable malicioso en formato ELF, correspondiente a la familia de malware conocida como Auto-Color.

Esta herramienta maliciosa fue descrita por primera vez en febrero de 2025 por el equipo Unit 42 de Palo Alto Networks. En aquel entonces, fue detectada en ataques dirigidos contra instituciones universitarias y gubernamentales en América del Norte y Asia. Auto-Color actúa como un troyano de acceso remoto, proporcionando a los atacantes control total sobre los sistemas Linux comprometidos. Sus capacidades incluyen la ejecución de comandos de shell, creación y ejecución de archivos, manipulación de la configuración del proxy del sistema, gestión de carga, recopilación de información del sistema y la posibilidad de autodestruirse por orden.

Una de las características clave de Auto-Color es su comportamiento orientado a ocultar su actividad. Si no logra establecer conexión con el servidor de comando y control, el malware reduce su actividad o incluso la detiene por completo, simulando ser un archivo inofensivo. Esto le permite evadir los sistemas de detección de amenazas y generar menos sospechas durante las fases iniciales del compromiso.

Durante el incidente de abril, Auto-Color no consiguió establecer una conexión persistente con la infraestructura externa de control, pero aun así mostró un comportamiento sofisticado, revelando un profundo conocimiento del funcionamiento interno de Linux y una actuación cuidadosa. Según los analistas, los autores de este malware minimizaron deliberadamente el riesgo de detección desactivando sus funciones activas cuando fallaba la conexión con el servidor de control.

El hecho de que se haya producido un ataque y se haya explotado una vulnerabilidad Zero-Day en SAP NetWeaver subraya el creciente interés de los atacantes por las plataformas empresariales corporativas. No es la primera vez que un software comercial ampliamente utilizado sirve como punto de entrada para un ataque dirigido de múltiples etapas. El incidente también demuestra la rapidez con la que reaccionan los grupos maliciosos tras la publicación de parches: pasaron solo unos pocos días entre la salida de la actualización y el uso del exploit.