Un grave rischio di sicurezza è stato recentemente identificato in SAP NetWeaver, una delle piattaforme più utilizzate a livello aziendale. Il difetto, catalogato come CVE-2025-31324 e valutato con un punteggio di gravità massima (CVSS 10.0), permette agli attaccanti di eseguire codice da remoto caricando web shell attraverso l’endpoint vulnerabile "/developmentserver/metadatauploader". Questo rende possibile il completo controllo del sistema affetto e l’installazione di ulteriori strumenti malevoli.

Attività del gruppo Chaya_004

A partire dal 29 aprile 2025, il gruppo di hacker denominato Chaya_004, con base in Cina, ha iniziato a sfruttare attivamente questa vulnerabilità. Secondo i ricercatori di Forescout Vedere Labs, l’infrastruttura dannosa riconducibile a questo gruppo ha già colpito centinaia di sistemi SAP in tutto il mondo, coinvolgendo settori strategici come energia, utilities, manifatturiero, media, petrolio e gas, farmaceutico, retail e pubblica amministrazione.

Prime compromissioni e sfruttamento attivo

Le prime attività sospette sono state rilevate già a gennaio 2025 tramite honeypot, con compromissioni confermate tra marzo e aprile. Anche Mandiant, azienda del gruppo Google, ha confermato che la prima exploitation documentata risale al 12 marzo 2025. Negli ultimi giorni, molteplici attori malevoli hanno iniziato a sfruttare la falla per installare web shell e persino minare criptovaluta sui sistemi vulnerabili.

Strumenti utilizzati dagli attaccanti

Il gruppo Chaya_004 ha distribuito una reverse shell web scritta in Golang chiamata SuperShell, ospitata sull’IP 47.97.42.177. Da questo stesso indirizzo sono stati rilevati altri strumenti tipici dell’ecosistema cybercriminale cinese, tra cui NPS, SoftEther VPN, Cobalt Strike, ARL, Pocassist, GOSINT e GO Simple Tunnel. L’utilizzo di provider cloud e tool in lingua cinese conferma il coinvolgimento di una minaccia attiva dalla Cina.

Raccomandazioni di sicurezza

Per mitigare il rischio, è fondamentale applicare immediatamente le patch ufficiali SAP, limitare l’accesso all’endpoint vulnerabile e disabilitare servizi non essenziali come Visual Composer. È inoltre consigliato monitorare costantemente il sistema per individuare attività anomale e reagire tempestivamente ad eventuali compromissioni.

Gli esperti sottolineano come la minaccia sia in continua evoluzione: anche dopo il rilascio della patch, attori più avanzati stanno sfruttando le shell già distribuite per espandere ulteriormente le proprie operazioni. Questo scenario evidenzia l’importanza di una gestione proattiva delle vulnerabilità e di una solida strategia di monitoraggio e risposta agli incidenti.