Een recent bekendgemaakte kritische beveiligingsfout die van invloed is op SAP NetWeaver wordt geëxploiteerd door meerdere actoren in de natie van China-Nexus Nation-State om zich te richten op kritieke infrastructuurnetwerken.
“Acteurs hebben gebruik gemaakt van CVE-2025-31324, een niet-geverifieerde kwetsbaarheid voor het uploaden van bestanden die externe code-uitvoering (RCE) mogelijk maakt,” zei Eclecticiq-onderzoeker Arda Büyükkaya in een analyse die vandaag is gepubliceerd.
Doelstellingen van de campagne zijn onder meer aardgasdistributienetwerken, water- en geïntegreerde nutsbedrijven in het Verenigd Koninkrijk, fabrieken voor fabrieken voor medische hulpmiddelen Olie- en gasonderzoeks- en productiebedrijven in de Verenigde Staten, en ministeries van de ministerie in Saoedi -Arabië die verantwoordelijk zijn voor beleggingsstrategie en financiële verordening.
De bevindingen zijn gebaseerd op een openbaar blootgestelde directory die is ontdekt op aanvallergestuurde infrastructuur (“15.204.56 (.) 106”) die gebeurtenislogboeken bevatten die de activiteiten vastlegden in meerdere gecompromitteerde systemen.
The Dutch cybersecurity company has attributed the intrusions to Chinese threat activity clusters tracked as UNC5221, UNC5174, and CL-STA-0048, the last of which was linked to attacks targeting high-value targets in South Asia by exploiting known vulnerabilities in public-facing IIS, Apache Tomcat, and MS-SQL servers to drop web shells, reverse shells, and the PlugX achterdeur.
Het merkte ook op dat een niet-gecategoriseerde China-Nexus Threat Actor een wijdverbreide internetscanning- en uitbuitingscampagne voert tegen SAP NetWeaver Systems. De server gehost op het IP -adres “15.204.56 (.) 106” is gebleken om meerdere bestanden te bevatten, waaronder –
- “CVE-2025-31324-RESULTS.TXT”, die 581 SAP NetWeaver-instanties heeft opgenomen gecompromitteerd en achterdeur met een webschaal
- “服务数据 _20250427_212229.TXT,” waarin 800 domeinen SAP NetWeaver weergeeft waarschijnlijk voor toekomstige targeting
“De blootgestelde open-DIR-infrastructuur onthult bevestigde inbreuken en benadrukt de geplande doelen van de groep en biedt duidelijk inzicht in zowel eerdere als toekomstige activiteiten,” merkte Büyükkaya op.
De exploitatie van CVE-2025-31324 wordt gevolgd door de dreigingsacteur die twee webschalen implementeert die zijn ontworpen om persistente externe toegang tot de geïnfecteerde systemen te behouden en willekeurige opdrachten uit te voeren.
Bovendien zijn drie verschillende Chinese hackgroepen waargenomen die de SAP NetWeaver -kwetsbaarheid benutten als onderdeel van inspanningen om externe toegang te behouden, verkenning te voeren en kwaadaardige programma’s te laten vallen –
- CL-Sta-0048, die heeft geprobeerd een interactieve reverse shell op te richten tot “43.247.135 (.) 53,” een IP-adres dat eerder werd geïdentificeerd zoals gebruikt door de dreigingsacteur
- UNC5221, die een webshell heeft gebruikt om Krustyloader te implementeren, een op roest gebaseerde malware die kan worden gebruikt om payloads in de tweede fase te bedienen, zoals Sliver, persistentie instellen en shell-opdrachten uitvoeren
- UNC5174, die een webshell heeft benut om Snowlight te downloaden, een lader die een verbinding met een hard gecodeerde server initieert om een Go-gebaseerde externe toegang te halen, genaamd Vshell en een achterdeur die bekend staat als Gorevers
“China-gekoppelde APT’s zullen zeer waarschijnlijk blijven richten op internet-blootgestelde bedrijfstoepassingen en edge-apparaten om langdurige strategische en persistentie-toegang tot kritieke infrastructuurnetwerken wereldwijd op te zetten,” zei Büyükkaya.
“Hun focus op veel gebruikte platforms zoals SAP Netweaver is een strategische zet, omdat deze systemen diep zijn geïntegreerd in enterprise -omgevingen en vaak ongecontroleerde kwetsbaarheden hosten.”
SAP -patches Nieuwe NetWeaver -fout in mei 2025 Patch
De openbaarmaking komt dagen nadat een andere door China gekoppelde naamloze dreigingsacteur Chaya_004 wordt genoemd, is ook toegeschreven aan de exploitatie van CVE-2025-31324 om een GO-gebaseerde reverse shell te implementeren genaamd Supershell.
SAP -beveiligingsbedrijf Onapsis zei dat het “significante activiteiten ziet van aanvallers die openbare informatie gebruiken om exploitatie te activeren en webschalen te misbruiken die worden geplaatst door de oorspronkelijke aanvallers, die momenteel donker zijn geworden.”
Verdere analyse van deze aanvallen heeft geleid tot de ontdekking van een ander kritisch defect in de Visual Composer Metadata Uploader -component van Netweaver. Opgehouden als CVE-2025-42999 (CVSS-score: 9.1), is het beschreven als een deserialisatie-kwetsbaarheid die door een bevoorrechte gebruiker kan worden benut om niet-vertrouwde of kwaadaardige inhoud te uploaden.
In het licht van de voortdurende actieve exploitatie worden klanten van SAP Netweaver aanbevolen om hun instanties zo snel mogelijk bij te werken naar de nieuwste versie.
