Setidaknya dua kelompok kejahatan dunia maya yang berbeda Bianlian dan Ransomexx dikatakan telah mengeksploitasi cacat keamanan yang baru -baru ini diungkapkan di SAP Netweaver, menunjukkan bahwa beberapa aktor ancaman mengambil keuntungan dari bug.
Perusahaan cybersecurity Reliaquest, dalam pembaruan baru yang diterbitkan hari ini, mengatakan pihaknya mengungkap bukti yang menunjukkan keterlibatan dari kru pemerasan data Bianlian dan keluarga ransomware ransomexx, yang dilacak oleh Microsoft di bawah moniker Storm-2460.
Bianlian dinilai terlibat dalam setidaknya satu insiden berdasarkan tautan infrastruktur ke alamat IP yang sebelumnya diidentifikasi sebagai dikaitkan dengan kelompok E-Crime.
“Kami mengidentifikasi server di 184[.]174[.]96[.]74 Hosting layanan proxy terbalik yang diprakarsai oleh Rs64.exe yang dapat dieksekusi, “kata perusahaan.” Server ini terkait dengan IP lain, 184[.]174[.]96[.]70, dioperasikan oleh penyedia hosting yang sama. IP kedua sebelumnya telah ditandai sebagai server perintah-dan-kontrol (C2) yang terkait dengan Bianlian, berbagi sertifikat dan port yang identik. “
ReliaQuest said it also observed the deployment of a plugin-based trojan dubbed PipeMagic, which was most recently used in connection with the zero-day exploitation of a privilege escalation bug (CVE-2025-29824) in the Windows Common Log File System (CLFS) in limited attacks targeting entities in the US, Venezuela, Spain, and Saudi Arabia.
Serangan melibatkan pengiriman pipemagic dengan menggunakan cangkang web yang dijatuhkan setelah eksploitasi cacat SAP Netweaver.
“Meskipun upaya awal gagal, serangan selanjutnya melibatkan penyebaran kerangka kerja kasar Ratel C2 menggunakan eksekusi tugas inline MSBuild,” kata Reliaquest. “Selama kegiatan ini, proses Dllhost.exe ditelurkan, menandakan eksploitasi kerentanan CLFS (CVE-2025-29824), yang sebelumnya dieksploitasi oleh kelompok itu, dengan ini merupakan upaya baru untuk mengeksploitasinya melalui perakitan inline.”
Temuan ini datang sehari setelah Eclecticiq mengungkapkan bahwa beberapa kelompok peretasan Cina dilacak sebagai UNC5221, UNC5174, dan CL-STA-0048 secara aktif mengeksploitasi CVE-2025-31324 untuk menjatuhkan berbagai muatan jahat.
Perusahaan keamanan SAP Onapsis mengungkapkan bahwa aktor ancaman juga telah mengeksploitasi CVE-2025-31324 di samping cacat deserialisasi dalam komponen yang sama (CVE-2025-42999) sejak Maret 2025, menambahkan perbaikan tambalan baru penyebab akar CVE-2025-31324.
“Ada sedikit perbedaan praktis antara CVE-2025-31324 dan CVE-2025-42999 selama CVE-2025-31324 tersedia untuk eksploitasi,” kata Reliaquest dalam sebuah pernyataan yang dibagikan dengan Hacker News.
“CVE-2025-42999 menunjukkan hak istimewa yang lebih tinggi akan diperlukan, namun, namun, CVE-2025-31324 memberikan akses sistem penuh terlepas. Aktor ancaman dapat mengeksploitasi kedua kerentanan dalam kedua CVE yang diautentikasi dan tidak autentikasi dengan cara yang sama. Oleh karena itu, saran remediasi adalah sama untuk kedua CVE.”
