Cibercriminosos exploram falha crítica no SAP NetWeaver para instalar malware furtivo

A empresa de cibersegurança Darktrace revelou que cibercriminosos exploraram uma falha crítica no SAP NetWeaver, identificada como CVE-2025-31324, para lançar o malware Auto-Color num ataque contra uma organização da indústria química sediada nos Estados Unidos.

O ataque foi detetado em abril de 2025, durante uma resposta a incidentes, altura em que os especialistas da Darktrace constataram que o Auto-Color apresentava novas capacidades de evasão, aumentando significativamente o desafio de deteção e erradicação.

Segundo a investigação, o ataque teve início a 25 de abril, mas a fase ativa da exploração ocorreu dois dias depois, com a introdução de um ficheiro ELF - executável Linux - no sistema de destino.

O Auto-Color foi inicialmente documentado em fevereiro de 2025 por investigadores da Unidade 42 da Palo Alto Networks, que destacaram a sua natureza furtiva e a dificuldade em removê-lo após a infeção da máquina.

O backdoor foi concebido para adaptar o seu comportamento ao nível de privilégio do utilizador em execução e recorre ao ficheiro ‘ld.so.preload’ para garantir persistência através da injeção de objetos partilhados de forma encoberta.

Entre as funcionalidades identificadas no Auto-Color encontram-se a execução arbitrária de comandos, alteração de ficheiros, acesso remoto através de shell reverso, encaminhamento de tráfego via proxy e atualização dinâmica de configurações. O malware integra ainda um módulo rootkit, responsável por ocultar a sua presença dos mecanismos de deteção tradicionais.

No entanto, a Unidade 42 não conseguiu, nas análises anteriores, determinar o vetor inicial de infeção em ataques que afetaram instituições académicas e entidades governamentais na América do Norte e na Ásia.

A Darktrace apurou agora que os autores do Auto-Color estão a explorar ativamente a vulnerabilidade CVE-2025-31324, que se trata de uma falha crítica no SAP NetWeaver que permite a carregamento de binários maliciosos sem autenticação e possibilita a execução remota de código (RCE).

A SAP disponibilizou uma correção para a vulnerabilidade em abril de 2025, mas, segundo empresas como ReliaQuest, Onapsis e watchTowr, as tentativas de exploração começaram imediatamente após a divulgação do patch.

Em maio, registou-se uma intensificação das atividades maliciosas, com grupos de ransomware e cibercriminosos apoiados pelo Estado chinês a juntarem-se à exploração ativa da falha. A Mandiant confirmou indícios de exploração em dia zero já a partir de meados de março.

A versão mais recente do Auto-Color apresenta ainda uma técnica adicional de evasão: caso o malware não consiga comunicar com o seu servidor de Comando e Controlo (C2), entra num modo de latência, evitando comportamentos que denunciem a sua presença.

“Se o servidor C2 estiver inacessível, o Auto-Color efetivamente trava e abstém-se de implantar toda a sua funcionalidade maliciosa, parecendo benigno para os analistas”, explica a Darktrace no seu relatório.

Esta característica dificulta a engenharia reversa e protege os mecanismos internos do malware, como a extração de credenciais ou técnicas de persistência. A estratégia é eficaz em ambientes de análise isolados, como sandboxes e redes air-gapped.

A par destas novas capacidades, o Auto-Color já utilizava mecanismos como lógica de execução dependente de privilégios, nomes de ficheiros inofensivos, hooks em funções da libc, diretórios de logs falsos, ligações TLS para C2, hashes únicos por amostra e até um “kill switch”. Perante a crescente exploração da falha CVE-2025-31324, os administradores devem aplicar urgentemente as atualizações e medidas de mitigação divulgadas pela SAP no boletim de segurança restrito a clientes.