Grupos de espionagem cibernética ligados ao governo chinês estão explorando uma falha crítica recém-divulgada no SAP NetWeaver (CVE-2025-31324) para invadir sistemas de infraestrutura essencial em diversos países. A vulnerabilidade permite a execução remota de código (RCE) sem necessidade de autenticação, por meio de upload de arquivos maliciosos.

Segundo os pesquisadores, os ataques têm como alvo redes de distribuição de gás natural, serviços de água e resíduos no Reino Unido, fábricas de dispositivos médicos e empresas de petróleo e gás nos EUA, além de ministérios do governo da Arábia Saudita ligados à regulação financeira e à estratégia de investimentos. As investigações se baseiam em um diretório público exposto em um servidor controlado pelos atacantes (IP: 15.204.56[.]106), onde foram encontrados registros de atividades em 581 sistemas SAP comprometidos com web shells para controle remoto. O servidor também armazenava uma lista com 800 domínios rodando SAP NetWeaver, sugerindo futuros alvos.

Três grupos chineses foram associados à campanha: UNC5221, UNC5174 e CL-STA-0048. Entre as técnicas usadas estão a instalação de web shells, reverse shells e backdoors como PlugX, além de malwares como KrustyLoader (em Rust), SNOWLIGHT (em Go) e ferramentas para persistência e controle remoto como VShell e GOREVERSE. Outro grupo chinês, Chaya_004, também explorou a falha para implantar o shell reverso SuperShell. A SAP já lançou correções para a falha em seu pacote de atualizações de maio de 2025. Além disso, foi identificada uma nova vulnerabilidade crítica (CVE-2025-42999), relacionada ao Visual Composer Metadata Uploader, que permite envio de conteúdo malicioso por usuários com privilégios. Especialistas recomendam atualização imediata do SAP NetWeaver para mitigar os riscos.