En mayo de 2025, un grupo de actores persistentes avanzados (APT) vinculados a China se ha identificado como responsable de una campaña masiva de explotación de una vulnerabilidad crítica en SAP NetWeaver, la plataforma ampliamente utilizada para la integración y gestión empresarial. La falla de seguridad, conocida como CVE-2025-31324, facilita la carga de archivos sin autenticación, lo que permite a los atacantes ejecutar código remotamente en sistemas vulnerables. Esta explotación ha resultado en la brecha de al menos 581 sistemas críticos en todo el mundo, con objetivos que abarcan sectores fundamentales como energía, agua, manufactura médica, producción petrolera y entidades gubernamentales. La vulnerabilidad afecta específicamente al componente de SAP NetWeaver que maneja la carga de archivos, y su naturaleza no autenticada facilita a los atacantes la entrada sin necesidad de credenciales. Al aprovechar este fallo, los actores maliciosos logran instalar web shells, que funcionan como puertas traseras proporcionando acceso remoto persistente al sistema comprometido.
Esto les permite ejecutar comandos arbitrarios, moverse lateralmente dentro de las redes afectadas y descargar malware adicional para prolongar y robustecer su presencia dentro de las infraestructuras atacadas. Entre los grupos de amenazas identificados están UNC5221, UNC5174 y CL-STA-0048, los cuales operan con motivaciones aparentes de espionaje y sabotaje estratégico. Estos grupos han utilizado diversas técnicas para mantener el control de los sistemas infectados, incluyendo el despliegue de malware avanzado como KrustyLoader, un programa escrito en Rust que facilita la entrega de cargas útiles complementarias como el framework Sliver. También se ha detectado el uso de loaders como SNOWLIGHT, que permiten la conexión con servidores de comando y control para descargar troyanos de acceso remoto como VShell y backdoors adicionales como GOREVERSE, aumentando la complejidad y persistencia de los ataques. Los objetivos de estas campañas no son aleatorios, sino que apuntan a infraestructuras críticas y entidades estratégicas de diferentes regiones.
En el Reino Unido, se han reportado ataques a redes de distribución de gas natural, gestión de agua y servicios integrales de residuos. En Estados Unidos, las víctimas incluyen plantas de manufactura de dispositivos médicos y empresas relacionadas con la exploración y producción de petróleo y gas. Además, en Arabia Saudita, las amenazas han afectado ministerios responsables de la regulación financiera y estrategia de inversiones, mostrando un patrón claro de interés en sectores vitales para la estabilidad y economía global. La evidencia recopilada proviene de un directorio público alojado en una infraestructura controlada por los atacantes, que incluía registros de eventos y archivos que confirman la extensión de las brechas. Dentro de esta infraestructura, se encontraron documentos con la lista de instancias comprometidas y dominios que probablemente serán atacados en el futuro, lo que revela una estrategia de preparación y reconocimiento a largo plazo por parte de los grupos APT.
No solo la explotación inicial de CVE-2025-31324 se encuentra activa, sino que también se ha descubierto un defecto adicional en el componente Visual Composer Metadata Uploader de NetWeaver, catalogado como CVE-2025-42999. Esta vulnerabilidad, con una calificación de gravedad alta, permite la deserialización insegura y podría ser explotada por usuarios con ciertos privilegios para cargar contenido malicioso. La combinación de ambas fallas amplifica el riesgo, ya que posibilita la ejecución remota de comandos sin necesidad de autenticación previa ni privilegios elevados, algo excepcionalmente peligroso para entornos corporativos. Ante la gravedad de la situación, los expertos en ciberseguridad instan a las organizaciones a aplicar cuanto antes las notas de seguridad publicadas por SAP. El parche para CVE-2025-31324, identificado como SAP Security Note 3594142, ha demostrado ser efectivo para mitigar buena parte de la amenaza.
Sin embargo, para eliminar cualquier riesgo remanente relacionado con CVE-2025-42999, se recomienda también implementar SAP Security Note 3604119. Mantener los sistemas actualizados es fundamental para prevenir que las infraestructuras críticas sigan siendo un blanco fácil para actores maliciosos. La comunidad de seguridad subraya que la elección de atacar SAP NetWeaver no es fortuita, dado que se trata de una plataforma muy extendida y profundamente integrada en los procesos de negocio de empresas y gobiernos. Muchas de estas instalaciones permanecen expuestas debido a la falta de parches o a configuraciones deficientes, facilitando la explotación y el acceso prolongado de atacantes expertos. Además, la actividad relacionada con esta vulnerabilidad ha evidenciado un elevado grado de coordinación y sofisticación entre los actores chinos.
Un actor identificado como Chaya_004 ha desplegado un reverse shell desarrollado en Go llamado SuperShell para mantener control remoto durante los ataques. Esta diversidad en malware y técnicas revela un enfoque multifacético y versátil para sortear controles de seguridad y evadir detección, dificultando la respuesta y remediación. El escenario actual implica que la amenaza sigue activa aunque algunos grupos originales hayan dejado de operar abiertamente, lo cual incrementa los riesgos de que terceros aprovechen las puertas traseras e implanten nuevas cargas maliciosas. Por ello, la detección temprana mediante monitoreo continuo, junto con políticas de segmentación de red y análisis de comportamientos anómalos, son prácticas recomendadas para limitar el impacto y respuesta ante intrusiones. El compromiso de múltiples sectores y países destaca la naturaleza global de estas campañas.
