Negli ultimi sviluppi nel panorama della sicurezza informatica, due gruppi di cybercriminali noti come BianLian e RansomExx hanno sfruttato una vulnerabilità recentemente scoperta in SAP NetWeaver. Questa falla, identificata come CVE-2025-31324, sta attirando l’attenzione di diversi attori malevoli, rendendo evidente la gravità della minaccia per le aziende che utilizzano questa piattaforma. Secondo ReliaQuest, sono emersi collegamenti diretti tra l’infrastruttura usata da BianLian e indirizzi IP precedentemente associati alle loro attività criminali, confermando il coinvolgimento del gruppo in almeno un attacco documentato.

Gli attacchi osservati hanno portato alla distribuzione di PipeMagic, un trojan modulare recentemente coinvolto anche nell’exploit di una zero-day su Windows CLFS (CVE-2025-29824). PipeMagic è stato veicolato tramite web shell che gli hacker hanno installato dopo aver compromesso SAP NetWeaver, permettendo il controllo remoto dei sistemi infetti. ReliaQuest ha inoltre rilevato un tentativo di distribuzione del framework Brute Ratel tramite l’esecuzione di task inline MSBuild, un approccio avanzato che segnala la continua evoluzione delle tecniche di attacco.

L’analisi ha evidenziato come, sebbene il primo tentativo di compromissione non sia andato a buon fine, gli aggressori abbiano riprovato sfruttando la vulnerabilità CLFS per ottenere privilegi elevati e mantenere la persistenza all’interno della rete aziendale. Questi attacchi sono stati rivolti a organizzazioni in diversi paesi, tra cui Stati Uniti, Venezuela, Spagna e Arabia Saudita, confermando la portata internazionale della minaccia.

Oltre a BianLian e RansomExx, anche gruppi di matrice cinese stanno attivamente sfruttando la stessa vulnerabilità SAP per diffondere vari payload dannosi. Onapsis, azienda specializzata in sicurezza SAP, ha segnalato che dal marzo 2025 vengono sfruttate in parallelo anche altre falle come CVE-2025-42999, aggravando ulteriormente la situazione.

Uno degli aspetti più critici risiede nel fatto che CVE-2025-31324 consente l’accesso completo al sistema, indipendentemente dai privilegi dell’utente. La raccomandazione unanime degli esperti è di applicare immediatamente le patch rilasciate da SAP, poiché la correzione blocca la causa alla radice di entrambe le vulnerabilità principali. La tempestività nell’aggiornamento dei sistemi SAP NetWeaver è fondamentale per proteggere l’infrastruttura aziendale da attacchi sempre più sofisticati e mirati.