Hackers chinos explotan la vulnerabilidad CVE-2025-31324 (Common Vulnerabilities and Exposures – 2025-31324) de SAP (Systems, Applications, and Products in Data Processing) RCE (Remote Code Execution) e implementan SuperShell basado en Golang (Go Programming Language).
Se ha observado a un actor de amenazas anónimo vinculado a China, llamado Chaya_004, explotando una falla de seguridad recientemente revelada en SAP NetWeaver.
Forescout Vedere Labs, en un informe publicado el jueves, dijo que descubrió una infraestructura maliciosa probablemente asociada con el grupo de piratas informáticos que utiliza CVE-2025-31324 (Common Vulnerabilities and Exposures – 2025-31324) (puntaje CVSS: 10.0) (Common Vulnerability Scoring System) desde el 29 de abril de 2025.
CVE-2025-31324 (Common Vulnerabilities and Exposures – 2025-31324) se refiere a una falla crítica de SAP NetWeaver que permite a los atacantes lograr la RCE (Remote Code Execution) al cargar shells web a través de un punto final “/developmentserver/metadatauploader” susceptible.
La vulnerabilidad fue detectada por primera vez por ReliaQuest a finales del mes pasado cuando descubrió que actores de amenazas desconocidos estaban abusando de la deficiencia en ataques del mundo real para lanzar shells web y el marco de postexplotación Brute Ratel C4 (Command and Control, versión 4).
Según Onapsis, cientos de sistemas SAP (Systems, Applications, and Products in Data Processing) en todo el mundo han sido víctimas de ataques que abarcan industrias y geografías, incluidas energía y servicios públicos, manufactura, medios de comunicación y entretenimiento, petróleo y gas, productos farmacéuticos, comercio minorista y organizaciones gubernamentales.
La firma de seguridad SAP afirmó haber observado actividades de reconocimiento que implicaban “pruebas con cargas útiles específicas contra esta vulnerabilidad” contra sus honeypots (sistemas señuelo) desde el 20 de enero de 2025. Se observaron ataques exitosos en la implementación de shells web entre el 14 y el 31 de marzo.
Mandiant, propiedad de Google, que también participa en esfuerzos de respuesta a incidentes relacionados con estos ataques, tiene evidencia de que la primera explotación conocida ocurrió el 12 de marzo de 2025.
En los últimos días, se dice que varios actores de amenazas se han sumado a la tendencia de explotación para atacar de manera oportunista los sistemas vulnerables para implementar shells web e incluso minar criptomonedas.
Según Forescout, esto también incluye a Chaya_004, que alojaba un shell inverso web escrito en Golang (Go Programming Language) llamado SuperShell en la dirección IP (Internet Protocol) 47.97.42[.]177. La empresa de seguridad de tecnología operativa (OT – Operational Technology) afirmó haber extraído la dirección IP de un binario ELF (Executable and Linkable Format) llamado config, utilizado en el ataque.
“En la misma dirección IP (Internet Protocol) que aloja Supershell (47.97.42[.]177), también identificamos varios otros puertos abiertos, incluido 3232/HTTP (Hypertext Transfer Protocol) que utiliza un certificado autofirmado anómalo que suplanta a Cloudflare con las siguientes propiedades: Subject DN (Distinguished Name): C=US, O=Cloudflare, Inc, CN=:3232″, dijeron los investigadores de Forescout, Sai Molige y Luca Barba.
Un análisis más detallado ha descubierto que el actor de la amenaza debe alojar varias herramientas en toda la infraestructura:
- NPS (Network Policy Server)
- SoftEther VPN (Virtual Private Network)
- Cobalt Strike
- Asset Reconnaissance Lighthouse (ARL)
- Pocassist
- GOSINT (Go Structured Intelligence Gathering Framework)
- GO Simple Tunnel
“El uso de proveedores de nube chinos y varias herramientas en idioma chino apunta a un actor de amenazas probablemente radicado en China”, agregaron los investigadores.
Para defenderse de los ataques, es esencial que los usuarios apliquen los parches lo antes posible o, si no lo han hecho ya, restrinjan el acceso al punto final del cargador de metadatos, deshabiliten el servicio Visual Composer si no está en uso y monitoreen si hay actividad sospechosa.
A continuación nuestras recomendaciones para este tipo de amenazas:
Sophos Firewall
Podemos defendernos de estos ataques de malware con las tecnologías de Sophos, que constantemente contienen nuevas actualizaciones para mantenerse al día de nuevos tipos de malware.
PROTECCIÓN WEB:
El motor de protección web de Sophos cuenta con el respaldo de SophosLabs Intelix e incluye innovadoras tecnologías necesarias para identificar y bloquear las últimas amenazas web.
- Protección web avanzada
- Protección contra pharming
- Escaneado de HTTPS
- Control de aplicaciones no deseadas
- SophosLabs
Protección contra amenazas activas:
Sophos Firewall ofrece una respuesta inmediata y automatizada a las amenazas y a los adversarios activos para detenerlos en seco y evitar la propagación lateral.
- Compatible con varios feeds de amenazas, incluidos los de Sophos X-Ops y MDR/XDR
- Bloquea inmediatamente las amenazas activas sin necesidad de reglas de firewall
- Utiliza la Seguridad Sincronizada para aislar automáticamente los endpoints administrados y aportar visibilidad
CONTROL WEB:
Visibilidad y control completos sobre todo el tráfico web con herramientas de aplicación flexibles que funcionan según sus necesidades, con opciones de cumplimiento para actividad, cuotas, programaciones y conformado de tráfico según usuarios y grupos.
- Modelo de políticas de nivel empresarial de puerta de enlace web segura (SWG)
- Compatibilidad con Sophos DNS Protection
- Control de actividades basado en plantillas con políticas predefinidas del lugar de trabajo y de cumplimiento
- Funciones educativas y SafeSearch
- Imposición de tráfico completa
- Conformado de tráfico (QoS)
Sophos Intercept X Endpoint
Sophos Intercept X Endpoint proporciona una protección inigualable, ya que detiene los ataques avanzados antes de que afecten a sus sistemas. Las potentes herramientas de detección y respuesta para endpoints y de detección y respuesta ampliadas (EDR/XDR) permiten a su organización buscar, investigar y responder a actividades sospechosas e indicadores de ataque.
REDUCCIÓN DE LA SUPERFICIE DE AMENAZAS
- Protección web
- Control web
- Reputación de descargas
- Control de aplicaciones
- Control de periféricos
- Prevención de fugas de datos
- Bloqueo de servidor (lista de aplicaciones permitidas)
- Cifrado completo de disco
PREVENCIÓN DE AMENAZAS
- Protección contra archivos de ransomware (CryptoGuard)
- Protección contra el ransomware remoto (CryptoGuard)
- Protección contra el ransomware que ataca el registro de arranque maestro (MBR)
- Defensas contextuales:
- Protección adaptativa contra ataques
- Defensas contextuales:
- Advertencias de ataques críticos en toda la infraestructura
- Prevención de malware basada en IA con Deep Learning
- Escaneado de archivos antimalware
- Bloqueo de aplicaciones no deseadas (PUA)
- Búsquedas en la nube de Live Protection
- Análisis de comportamientos
- Antiexploits (+60 mitigaciones)
- Bloqueo de aplicaciones
- Interfaz de escaneado antimalware (AMSI)
- Detección de tráfico malicioso
- Sistema de prevención de intrusiones (IPS)
- Monitorización de integridad de archivos (servidores)
Sophos MDR (Managed Detection and Response)
Mitigación con intervención humana experta en ciberataques avanzados.
CARACTERÍSTICAS RELEVANTES:
- Equipo 24/7 de analistas de amenazas: analiza, responde y mitiga campañas activas como las atribuidas a Chaya_004.
- Threat Hunting: búsqueda proactiva de indicadores de compromiso relacionados con SuperShell, Golang, y herramientas como SoftEther VPN o GOSINT.
