Hackers Chinos estarían detrás de Ataques a Servidores SAP NetWeaver

por

Una vulnerabilidad crítica en SAP NetWeaver está siendo explotada activamente por grupos de hackers vinculados a China, poniendo en riesgo a grandes corporaciones y organismos públicos en todo el mundo.

¿El objetivo? Control total del sistema, sin siquiera necesidad de iniciar sesión.

Qué ha estado pasando con SAP NetWeaver

Todo gira en torno a la falla CVE-2025-31324, descubierta en SAP NetWeaver Visual Composer que permite a atacantes subir archivos maliciosos sin autenticación. Sí, ni siquiera hace falta tener cuenta.

Con esa puerta abierta, el atacante puede ejecutar código remotamente y tomar el control del servidor.

SAP ya lanzó un parche de emergencia el 24 de abril pero muchos sistemas siguen expuestos y ya han sido comprometidos.

Quién está detrás de los Ataques: Un grupo chino y un arsenal de herramientas locales

Los ataques más recientes han sido atribuidos a un grupo que los investigadores de Forescout Vedere Labs llaman «Chaya_004», una entidad aún no oficial, pero activa y peligrosa.

Entre las pistas que los delatan:

  • Uso de IP’s con certificados falsos que imitan a Cloudflare
  • Infraestructura montada en proveedores chinos como Huawei Cloud, Tencent y Alibaba
  • Herramientas como SuperShell, una reversa web escrita en chino
  • Despliegue de Brute Ratel, un software de pentesting usado en la fase de post-explotación

Qué tan grave es todo esto

Muy grave. Al menos 20 empresas Fortune 500 y Global 500 están comprometidas, según los expertos más importantes. La Fundación Shadowserver identificó más de 1.200 servidores vulnerables, de los cuales casi 500 ya estaban infectados.

Desde cuándo están atacando

  • Desde enero ya había actividad de reconocimiento
  • Explotaciones activas comenzaron el 10 de febrero
  • Ataques confirmados por múltiples empresas de ciberseguridad como Mandiant, Onapsis, ReliaQuest y watchTowr

Qué deben hacer las empresas posiblemente afectadas

Si usas SAP NetWeaver, esto es urgente:

✅ Aplica el parche CVE-2025-31324 inmediatamente
✅ Limita el acceso al servicio de carga de metadatos
✅ Desactiva Visual Composer si no es indispensable
✅ Monitorea tu red para detectar shells y conexiones sospechosas
✅ Revisa si tus servidores están expuestos públicamente

Además, CISA ha ordenado a agencias federales de EE.UU. asegurar sus sistemas antes del 20 de mayo, lo que muestra la seriedad del asunto.

Esta es una advertencia seria para cualquier empresa que utilice SAP en entornos críticos. Ignorar esta vulnerabilidad es como dejar la puerta abierta con un cartel que dice: “entra cuando quieras”.

Artículos Relacionados

Descubre más desde CIBERED

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Deja un comentario