Se ha observado que los actores de amenaza
están explotando una falla crítica de SAP Netweaver para instalar
el backdoor «Auto-Color»,en un ataque dirigido a una compañía de productos químicos con sede en los
Estados Unidos.
«En el transcurso de tres días, un actor de amenaza obtuvo acceso a la red
del cliente, intentó descargar varios archivos sospechosos y comunicó con
infraestructura maliciosa vinculada al malware Auto-Color»,
dijo DarkTrace en un informe.
La vulnerabilidad en cuestión es
CVE-2025-31324, un error de carga de archivos no autenticado severo en SAP Netweaver que
habilita la ejecución del código remoto (RCE).
Fue parcheado por SAP en abril.
Auto-Color, documentado por primera vez por la Unit 42 de Palo Alto Networks a
principios de febrero, funciona similar a un troyano de acceso remoto, que
permite el acceso a hosts de Linux comprometidos. Se observó en ataques
dirigidos a universidades y organizaciones gubernamentales en América del
Norte y Asia entre noviembre y diciembre de 2024.
El incidente detectado por DarkTrace tuvo lugar el 28 de abril, cuando fue
alertado de la descarga de un binario ELF sospechoso en una máquina expuesta a
Internet que probablemente ejecutaba SAP Netweaver. Dicho esto, se dice que
los signos iniciales de actividad de escaneo ocurrieron al menos tres días
antes.
«CVE-2025-31324 se aprovechó en este caso para lanzar un ataque de segunda
etapa, que implica el compromiso del dispositivo conectado a Internet y la
descarga de un archivo ELF que representa el malware Auto-Color», dijo la compañía.
«Desde la intrusión inicial hasta el establecimiento fallido de la
comunicación C2, el malware mostró una clara comprensión de Linux y demostró
una restricción calculada diseñada para minimizar la exposición y reducir el
riesgo de detección».
Fuente:
THN