Un reciente ciberataque de alta complejidad contra una empresa química estadounidense ha revelado una nueva táctica: la explotación de la vulnerabilidad en SAP NetWeaver junto con el malware Auto-Color. Este incidente subraya cómo los ciberdelincuentes están aprovechando fallas críticas para implementar amenazas persistentes y avanzadas en sistemas Linux.
En abril de 2025, la empresa de ciberseguridad Darktrace detectó y neutralizó un ataque que explotó CVE-2025-31324, una vulnerabilidad crítica en SAP NetWeaver. Durante tres días, los atacantes lograron implementar el sigiloso malware de puerta trasera Auto-Color.
Explotación de la Vulnerabilidad de SAP NetWeaver
El ataque se inició con la explotación de CVE-2025-31324, una vulnerabilidad divulgada por SAP SE el 24 de abril de 2025 que afecta a los servidores de aplicaciones SAP NetWeaver. Esta vulnerabilidad permite a los atacantes subir archivos al servidor, lo que puede conducir a la ejecución remota de código y al compromiso total del sistema.
Desde el 25 de abril, los atacantes realizaron actividades de reconocimiento, escaneando la vulnerabilidad utilizando URIs específicas que contenían /developmentserver/metadatauploader, antes de lanzar el ataque completo dos días después.
El compromiso inicial se logró descargando un archivo ZIP desde una dirección IP maliciosa (91.193.19[.]109), junto con solicitudes de tunelización DNS a dominios de pruebas de seguridad de aplicaciones fuera de banda (OAST). Posteriormente, los atacantes ejecutaron un script de shell llamado config.sh a través del archivo helper.jsp, estableciendo conexiones con una infraestructura de comando y control (C2) en 47.97.42[.]177 a través del puerto 3232. Este punto final está asociado con Supershell, una plataforma de C2 vinculada a grupos de amenazas afiliados a China.
Técnicas de Persistencia del Malware Auto-Color
El malware de puerta trasera Auto-Color, llamado así por su capacidad de cambiar su nombre a /var/log/cross/auto-color después de la ejecución, es un troyano de acceso remoto (RAT) sofisticado que ha estado atacando principalmente a universidades e instituciones gubernamentales desde noviembre de 2024. El malware exhibe un comportamiento adaptativo según los niveles de privilegios: su funcionalidad es limitada cuando se ejecuta sin privilegios de root para evitar ser detectado en entornos restringidos.
Cuando se ejecuta con privilegios de root, Auto-Color realiza procedimientos de instalación invasivos, desplegando un objeto compartido malicioso libcext.so.2 que se hace pasar por una biblioteca de utilidades C legítima. El malware logra persistencia manipulando ld.so.preload, modificando o creando /etc/ld.so.preload para insertar referencias a la biblioteca maliciosa. Esta técnica asegura que el malware se cargue antes que otras bibliotecas al ejecutar programas vinculados dinámicamente, lo que le permite interceptar y anular funciones estándar del sistema en todas las aplicaciones.
La intervención exitosa del servicio de Detección y Respuesta Administrada de Darktrace, que extendió las acciones de Respuesta Autónoma por 24 horas adicionales, proporcionó un tiempo crucial para que el equipo de seguridad del cliente investigara y mitigara la amenaza. Este ataque subraya la urgente necesidad de que las organizaciones que utilizan SAP NetWeaver apliquen parches de seguridad de inmediato, ya que los actores de amenazas continúan explotando esta vulnerabilidad crítica en múltiples sistemas.
