Cacat keamanan kritis yang baru-baru ini diungkapkan yang berdampak pada SAP Netweaver sedang dieksploitasi oleh beberapa aktor negara-negara China-Nexus untuk menargetkan jaringan infrastruktur kritis.
“Aktor Leveraged CVE-2025-31324, kerentanan unggahan file yang tidak autentikasi yang memungkinkan eksekusi kode jarak jauh (RCE),” kata peneliti Eclecticiq Arda Büyükkaya dalam sebuah analisis yang diterbitkan hari ini.
Target kampanye ini meliputi jaringan distribusi gas alam, air dan utilitas pengelolaan limbah terintegrasi di Inggris, perusahaan manufaktur perangkat medis perusahaan eksplorasi minyak dan gas di Amerika Serikat, dan kementerian pemerintah di Arab Saudi yang bertanggung jawab atas strategi investasi dan regulasi keuangan.
Temuan ini didasarkan pada direktori yang diekspos publik yang ditemukan pada infrastruktur yang dikendalikan penyerang (“15.204.56[.]106 “) yang berisi log peristiwa yang menangkap kegiatan di berbagai sistem yang dikompromikan.
The Dutch cybersecurity company has attributed the intrusions to Chinese threat activity clusters tracked as UNC5221, UNC5174, and CL-STA-0048, the last of which was linked to attacks targeting high-value targets in South Asia by exploiting known vulnerabilities in public-facing IIS, Apache Tomcat, and MS-SQL servers to drop web shells, reverse shells, and the PlugX pintu belakang.
Ia juga mencatat bahwa aktor ancaman China-Nexus yang tidak dikategorikan sedang melakukan kampanye pemindaian dan eksploitasi internet yang meluas terhadap SAP Netweaver Systems. Server yang dihosting di alamat IP “15.204.56[.]106 “telah ditemukan berisi beberapa file, termasuk –
- “CVE-2025-31324-results.txt,” yang telah merekam 581 instance SAP Netweaver yang dikompromikan dan dibatalkan dengan shell web
- “服务数据 _20250427_212229.txt,” yang mencantumkan 800 domain yang menjalankan SAP NetWeaver kemungkinan untuk penargetan di masa depan
“Infrastruktur DIR terbuka yang terbuka mengungkapkan pelanggaran yang dikonfirmasi dan menyoroti target yang direncanakan kelompok itu, menawarkan wawasan yang jelas tentang operasi masa lalu dan masa depan,” kata Büyükkaya.
Eksploitasi CVE-2025-31324 diikuti oleh aktor ancaman yang menggunakan dua cangkang web yang dirancang untuk mempertahankan akses jarak jauh yang persisten ke sistem yang terinfeksi dan menjalankan perintah sewenang-wenang.
Selain itu, tiga kelompok peretasan Cina yang berbeda telah diamati mengeksploitasi kerentanan SAP Netweaver sebagai bagian dari upaya untuk mempertahankan akses jarak jauh, melakukan pengintaian, dan menjatuhkan program jahat –
- CL-STA-0048, yang telah berusaha untuk membangun cangkang terbalik interaktif menjadi “43.247.135[.]53, “Alamat IP yang sebelumnya diidentifikasi seperti yang digunakan oleh aktor ancaman
- UNC5221, yang telah memanfaatkan shell web untuk menggunakan Krustyloader, malware berbasis karat yang dapat digunakan untuk melayani muatan tahap kedua seperti sliver, mengatur kegigihan, dan menjalankan perintah shell shell
- UNC5174, yang telah memanfaatkan cangkang web untuk mengunduh Snowlight, loader yang memulai koneksi dengan server kode keras untuk mengambil Trojan akses jarak jauh berbasis go bernama Vshell dan pintu belakang yang dikenal sebagai Goreverse
“APT yang terkait dengan China sangat mungkin untuk terus menargetkan aplikasi perusahaan yang terpapar internet dan perangkat tepi untuk membangun akses strategis dan kegigihan jangka panjang ke jaringan infrastruktur kritis secara global,” kata Büyükkaya.
“Fokus mereka pada platform yang banyak digunakan seperti SAP NetWeaver adalah langkah strategis, karena sistem ini sangat terintegrasi ke dalam lingkungan perusahaan dan seringkali menjadi tuan rumah kerentanan yang tidak ditandingi.”
SAP Patches New Netweaver Flaw pada Mei 2025 Patch
Pengungkapan itu terjadi beberapa hari setelah aktor ancaman yang tidak disebutkan namanya China yang dijuluki Chaya_004 juga telah dikaitkan dengan eksploitasi CVE-2025-31324 untuk menggunakan cangkang terbalik berbasis GO yang disebut Supershell.
Perusahaan keamanan SAP Onapsis mengatakan “melihat aktivitas signifikan dari penyerang yang menggunakan informasi publik untuk memicu eksploitasi dan penyalahgunaan peluru web yang ditempatkan oleh penyerang asli, yang saat ini sudah gelap.”
Analisis lebih lanjut dari serangan ini telah menyebabkan penemuan cacat kritis lainnya pada komponen pengunggah metadata visual Netweaver. Dilacak sebagai CVE-2025-42999 (skor CVSS: 9.1), telah digambarkan sebagai kerentanan deserialisasi yang dapat dieksploitasi oleh pengguna istimewa untuk mengunggah konten yang tidak dapat dipercaya atau berbahaya.
Mengingat eksploitasi aktif yang sedang berlangsung, pelanggan SAP Netweaver disarankan untuk memperbarui contoh mereka ke versi terbaru sesegera mungkin.
