Van ten minste twee verschillende cybercriminaliteitsgroepen Bianlian en Ransomexx zouden een recent bekendgemaakte beveiligingsfout in SAP Netweaver hebben benut, wat aangeeft dat meerdere dreigingsactoren profiteren van de bug.
Cybersecurity Firm Reliaquest, in een nieuwe update die vandaag is gepubliceerd, zei dat het bewijsmateriaal heeft ontdekt dat betrokkenheid van de Bianlian Data Excortortion Crew en de Ransomexx Ransomware-familie, die wordt opgespoord door Microsoft onder de moniker Storm-2460.
Bianlian wordt beoordeeld als betrokken bij ten minste één incident op basis van infrastructuurbanden naar IP-adressen die eerder werden geïdentificeerd als toegeschreven aan de E-crime-groep.
“We hebben een server geïdentificeerd op 184 (.) 174 (.) 96 (.) 74 Hosting omgekeerde proxy -services geïnitieerd door het uitvoerbare rs64.exe,” zei het bedrijf. “Deze server is gerelateerd aan een andere IP, 184 (.) 174 (.) 96 (.) 70, beheerd door dezelfde hostingprovider. De tweede IP was eerder gemarkeerd als een command-and-control (C2) -server geassocieerd met Bianlian, die identieke certificaten en poorten delen.”
ReliaQuest zei dat het ook de implementatie van een op plug-in gebaseerde Trojan wordt nagesynchroniseerd, waargenomen dat Pipemagic, die het meest recent werd gebruikt in verband met de zero-day exploitatie van een privilege-escalatie-bug (CVE-2025-29824) in het Windows Common Log File System (CLFS) in beperkte aanvallen in beperkte aanvallen in beperkte aanvallen in de VS, Venezuela, Spanje en Saudi Arabia.
De aanvallen betroffen de levering van pipemagisch door middel van webschalen die daalden na de exploitatie van de SAP Netweaver -fout.
“Hoewel de eerste poging mislukte, betrof een daaropvolgende aanval de inzet van het Brute Ratel C2 -framework met behulp van inline MSBuild -taakuitvoering,” zei Reliaquest. “Tijdens deze activiteit werd een dllhost.exe-proces voortgebracht, wat de exploitatie van de CLFS-kwetsbaarheid (CVE-2025-29824) aangeeft, die de groep eerder had benut, waarbij dit een nieuwe poging was om het te exploiteren via inline-assemblage.”
De bevindingen komen een dag nadat Eclecticiq heeft bekendgemaakt dat meerdere Chinese hackgroepen die werden gevolgd als UNC5221, UNC5174 en CL-STA-0048 actief CVE-2015-31324 exploiteren om verschillende kwaadaardige ladingen te laten vallen.
SAP Security Company ONAPSIS onthulde dat dreigingsactoren ook CVE-2025-31324 exploiteren naast een deserialisatiefout in dezelfde component (CVE-2025-42999) sinds maart 2025, die de nieuwe patch toevoegt de hoofdoorzaak van CVE-2025-31324.
“Er is weinig praktisch verschil tussen CVE-2025-31324 en CVE-2025-42999 zolang CVE-2025-31324 beschikbaar is voor uitbuiting,” zei Reliaquest in een verklaring gedeeld met het Hacker News.
“CVE-2025-42999 geeft aan dat hogere privileges nodig zijn, maar CVE-2025-31324 biedt hoe dan ook volledige systeemtoegang. Een dreigingsacteur zou beide kwetsbaarheden kunnen benutten in een geverifieerde en niet-geauthenticeerde gebruiker op dezelfde manier. Daarom is het hersteladvies hetzelfde voor beide CVS.”
