Um grupo de hackers vinculado à China, identificado como Chaya_004, está explorando uma falha crítica no SAP NetWeaver, conhecida como CVE-2025-31324, que permite execução remota de código (RCE). O grupo utiliza essa vulnerabilidade desde 29 de abril para implantar shells web e ferramentas avançadas de pós-exploração. A falha, com pontuação máxima de 10,0 no CVSS, está presente no endpoint “/developmentserver/metadatauploader” e foi inicialmente detectada pela ReliaQuest em ataques reais envolvendo o framework Brute Ratel C4.

Pesquisadores de cibersegurança alertaram que centenas de sistemas SAP em setores como energia, manufatura, entretenimento, petróleo, farmacêutico, varejo e governo foram comprometidos. Os primeiros sinais de exploração datam de janeiro, com invasões bem-sucedidas ocorrendo entre março e abril. O Google Mandiant confirmou o uso da falha em 12 de março. Recentemente, diversos atores maliciosos têm aproveitado a brecha para disseminar shells e até minerar criptomoedas. O grupo Chaya_004 hospedou um shell reverso em Golang, chamado SuperShell, no IP 47.97.42[.]177. Essa infraestrutura também exibe portas abertas e certificados SSL falsificados, como um que se passa pela Cloudflare.

Além disso, ferramentas como NPS, SoftEther VPN, Cobalt Strike, ARL, Pocassit, GOSINT e GO Simple Tunnel foram encontradas no mesmo ambiente, sugerindo uma operação altamente organizada. O uso de provedores de nuvem chineses e ferramentas em chinês reforça a origem geográfica do grupo. Especialistas recomendam aplicar os patches imediatamente, restringir o acesso ao endpoint vulnerável, desativar o serviço Visual Composer se não estiver em uso e monitorar atividades suspeitas.