Grupo hacker Chaya_004 explora falha crítica no SAP NetWeaver para Instalar SuperShell em Golang

Pesquisadores identificaram que um grupo hacker Chaya_004, está explorando ativamente uma falha crítica no SAP NetWeaver (CVE-2025-31324), com pontuação máxima de gravidade (CVSS 10.0), para realizar ataques de execução remota de código (RCE).

A brecha permite que os invasores enviem web shells por meio do endpoint vulnerável "/developmentserver/metadatauploader", colocando em risco organizações de diversos setores e regiões.

Segundo um relatório divulgado nesta quinta-feira (9) pelo Forescout Vedere Labs, a campanha maliciosa está em curso desde o final de abril de 2025, embora atividades suspeitas já tenham sido detectadas desde janeiro. A falha foi inicialmente identificada pela ReliaQuest, que detectou seu uso em ataques reais com implantação do framework de pós-exploração Brute Ratel C4. A empresa Onapsis confirmou que centenas de sistemas SAP em todo o mundo já foram comprometidos — entre eles, empresas dos setores de energia, manufatura, mídia, petróleo e gás, farmacêutico, varejo e até órgãos governamentais.

A Mandiant, empresa do Google envolvida na resposta aos incidentes, detectou o primeiro caso confirmado de exploração em 12 de março de 2025. Desde então, outros grupos hackers passaram a explorar a vulnerabilidade de forma oportunista, instalando web shells e até mineradores de criptomoedas. O grupo Chaya_004, especificamente, utilizou uma reverse shell escrita em Golang chamada SuperShell, hospedada no IP 47.97.42[.]177, extraído de um binário ELF chamado “config”. No mesmo IP, a Forescout também encontrou portas abertas com certificados falsos que se passam pela Cloudflare.

Além disso, os pesquisadores detectaram diversas ferramentas utilizadas na infraestrutura do grupo invasor, como NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT e GO Simple Tunnel — muitas delas em idioma chinês, o que reforça a origem geográfica dos ataques. A recomendação imediata é que empresas apliquem os patches disponibilizados pela SAP, limitem o acesso ao endpoint afetado, desabilitem o serviço Visual Composer se não estiver em uso, e reforcem a vigilância de atividades anômalas nos sistemas.

O diretor de tecnologia da Onapsis, Juan Pablo "JP" Perez-Etchegoyen, alertou que a atividade detectada é pós-correção, o que representa uma ameaça contínua, pois mesmo grupos menos sofisticados estão aproveitando os web shells já implantados, enquanto hackers mais avançados aceleram suas ações para ampliar os danos com base em sistemas comprometidos anteriormente.

Via - THN