Um grupo de cibercriminosos identificado como Chaya_004 está conduzindo uma campanha ativa de exploração contra sistemas SAP NetWeaver, utilizando uma vulnerabilidade crítica (CVE-2025-31324) que permite execução remota de código (RCE). A falha recebeu pontuação máxima de severidade (CVSS 10.0) e está sendo usada para instalar uma reverse shell escrita em Golang, conhecida como SuperShell.
Como funciona a exploração?
A vulnerabilidade permite que os atacantes enviem web shells maliciosos por meio do endpoint vulnerável “/developmentserver/metadatauploader”. A partir disso, é possível obter controle remoto do sistema e movimentar-se lateralmente na rede da empresa afetada.
Embora a campanha tenha ganhado força em abril de 2025, sinais de exploração foram detectados desde janeiro. Organizações de setores como energia, varejo, petróleo, governo, mídia e farmacêutico já foram comprometidas.
Ferramentas e infraestrutura usadas pelos hackers
Segundo análises das empresas Forescout, Onapsis, ReliaQuest e Mandiant, os atacantes utilizam ferramentas conhecidas no submundo hacker, como:
- Cobalt Strike
- SoftEther VPN
- Asset Reconnaissance Lighthouse (ARL)
- Brute Ratel C4
- GO Simple Tunnel
- NPS e Pocassit
Além disso, a reverse shell SuperShell foi hospedada no IP 47.97.42[.]177, onde também foram encontrados certificados digitais falsificados tentando imitar a Cloudflare, o que reforça a tentativa de ocultar a origem dos ataques. Muitos dos recursos utilizados estão em idioma chinês, corroborando a origem atribuída ao grupo.
Por que isso importa?
Mesmo após a SAP ter disponibilizado correções para a falha, os ataques continuam, agora também conduzidos por grupos oportunistas que se aproveitam de sistemas ainda desprotegidos. Em alguns casos, os invasores instalam mineradores de criptomoedas ou utilizam os sistemas como porta de entrada para invasões mais complexas.
Medidas recomendadas
Para proteger sua empresa, é fundamental:
- ✅ Aplicar imediatamente os patches oficiais fornecidos pela SAP.
- 🔒 Restringir o acesso ao endpoint vulnerável.
- 🛑 Desativar o serviço Visual Composer se ele não estiver em uso.
- 👁️🗨️ Reforçar o monitoramento contínuo de rede e sistemas para identificar movimentações suspeitas.
Alerta da Onapsis: Mesmo com os patches aplicados, sistemas previamente comprometidos podem continuar servindo como vetor para ações maliciosas. A ameaça é contínua.
Sua empresa utiliza SAP NetWeaver?
Este é o momento de revisar sua postura de segurança e agir de forma proativa. A falha está sendo amplamente explorada, e os danos podem ser severos.
Se precisar de suporte para auditoria de segurança, monitoramento ou aplicação de correções, entre em contato com nossa equipe especializada.
