En los últimos meses, la comunidad de ciberseguridad ha detectado un aumento significativo en el abuso de una vulnerabilidad crítica en SAP NetWeaver, identificada como CVE-2025-31324. Esta falla permite a los atacantes ejecutar código remotamente a través de un endpoint vulnerable destinado a la carga de metadatos, exponiendo millones de sistemas SAP en el mundo a riesgos severos de compromiso. De acuerdo con informes recientes de Forescout Vedere Labs y otras firmas especializadas, un grupo no identificado con vínculos a China, denominado Chaya_004, se ha apoderado de esta vulnerabilidad para implementar ataques con una sofisticada herramienta llamada SuperShell, un web shell escrito en Golang que ofrece capacidades avanzadas para el control remoto del sistema infectado. La explotación de CVE-2025-31324 se ha convertido en uno de los mayores desafíos para la seguridad industrial y empresarial global, dado que SAP NetWeaver es una plataforma fundamental en la gestión de recursos empresariales utilizada en sectores tan diversos como energía, manufactura, farmacéutica, medios de comunicación, petróleo y gobierno. La vulnerabilidad radica en un endpoint denominado "/developmentserver/metadatauploader", que inicialmente no estaba suficientemente protegido.
Al permitir subir web shells a este punto, los atacantes pueden ejecutar comandos arbitrarios, lo que les facilita acceder, manipular y mantener un control persistente sobre los sistemas comprometidos. Esta falla recibió una máxima puntuación de gravedad CVSS 10.0, reflejando el nivel crítico de riesgo que representa. La detección temprana de la explotación real de esta vulnerabilidad fue reportada por ReliaQuest a finales de marzo y principios de abril de 2025, cuando comenzaron a observar intentos masivos de carga de herramientas maliciosas y frameworks post-explotación como Brute Ratel C4. Desde entonces, el número de dispositivos afectados se ha incrementado hasta superar las cientos de instalaciones SAP comprometidas en todo el mundo.
Investigaciones llevadas a cabo por Onapsis y Mandiant indican que el uso del exploit no es exclusivo de un único grupo, ya que múltiples actores de amenazas han comenzado a usar este vector para desplegar web shells y, en algunos casos, minar criptomoneda aprovechándose de la infraestructura atacada. Dentro de esta operativa, el grupo chino Chaya_004 ha sobresalido por hospedar en la dirección IP 47.97.42[.]177 una herramienta llamada SuperShell.
Este shell reverso basado en Golang brinda una elevada eficiencia y facilidad para controlar remotamente los servidores infectados. El uso del lenguaje Go permite que el shell sea multiplataforma, ligero y difícil de detectar, lo cual representa un nuevo desafío para los equipos de respuesta a incidentes y analistas de seguridad. Además, en el mismo servidor se han identificado otros servicios abiertos que utilizan certificados autofirmados que imitan a proveedores legítimos como Cloudflare, lo que dificulta la detección mediante métodos tradicionales de inspección SSL. La infraestructura relacionada incluye tecnologías diversas, entre ellas NPS, SoftEther VPN, Cobalt Strike y diversas herramientas de reconocimiento y túneles seguros codificados en Golang. El análisis de los investigadores apunta a que el uso de proveedores de nube chinos y una serie de herramientas con interfaz en idioma chino refuerzan la hipótesis de que este actor es originario de China.
Las implicaciones de esta campaña maliciosa son importantes para la ciberseguridad empresarial, debido a que muchas organizaciones no solo dependen de SAP para operaciones vitales, sino que además pueden sufrir compromisos en cadena por una explotación tan sencilla y efectiva. La combinación de una vulnerabilidad recién descubierta con una herramienta avanzada como SuperShell facilita a los atacantes la realización de una intrusión profunda, el movimiento lateral dentro de la red e incluso la instalación de cargas útiles adicionales como malware para minería de criptomonedas o ransomware. Para mitigar el riesgo, los expertos recomiendan la aplicación inmediata de los parches publicados por SAP, que corrigen la falla en el endpoint metadata uploader. También sugieren restringir el acceso a esta interfaz, deshabilitar servicios no esenciales como Visual Composer si no se usan, y monitorear constantemente el sistema para detectar cualquier comportamiento anómalo. Dada la naturaleza post-parche de muchas de estas infecciones, la monitorización y la respuesta temprana son vitales para impedir que actores menos sofisticados o avanzados expandan su control sobre los sistemas comprometidos.
La proliferación de estas explotaciones demuestra cómo las vulnerabilidades aún no corregidas o mal defendidas siguen siendo una puerta abierta para actores hostiles, en especial en entornos industriales donde la seguridad muchas veces es menos prioritaria respecto a la disponibilidad y continuidad operativa. Esta situación resalta la necesidad de mantener un programa de seguridad activo, aplicado y adaptado a las amenazas actuales, incluyendo la revisión constante de configuraciones, la segmentación de redes y el empleo de herramientas de detección modernas capaces de identificar comportamientos sospechosos desde las primeras fases de un ataque. En conclusión, la amenaza presentada por el grupo Chaya_004 y la explotación de CVE-2025-31324 pone en evidencia que las vulnerabilidades en plataformas TI críticas como SAP NetWeaver pueden tener consecuencias globales profundas. La combinación de un exploit de alto impacto y una herramienta moderna de control remoto en Golang como SuperShell amplifica el alcance del daño potencial. La comunidad de seguridad debe continuar colaborando en el intercambio de inteligencia y en la implementación ágil de medidas para proteger los sistemas, a fin de evitar que estos ataques afecten aún más sectores estratégicos y causen pérdidas económicas considerables.
Mantenerse informado, aplicar parches de manera inmediata y fortalecer las defensas perimetrales y internas es la mejor forma de protegerse frente a campañas sofisticadas que, como la liderada por este grupo con origen en China, aprovechan cualquier oportunidad para infiltrarse y exfiltrar datos o recursos con fines ilícitos.
