Grupos hackers BianLian e RansomExx exploram falha no SAP NetWeaver para instalar trojan PipeMagic

Dois grupos hackers, BianLian e RansomExx, estão explorando uma falha de segurança recentemente divulgada no SAP NetWeaver para executar ataques sofisticados, incluindo a instalação do trojan modular conhecido como PipeMagic. A descoberta foi feita pela empresa de cibersegurança ReliaQuest, que revelou indícios da participação de ambas as quadrilhas em ações que envolvem desde extorsão de dados até a disseminação de ransomwares.

A investigação identificou servidores vinculados a endereços IP já associados ao grupo BianLian, incluindo infraestrutura usada para executar serviços de reverse proxy com o executável “rs64.exe”. Um dos IPs analisados (184[.]174[.]96[.]74) compartilha certificados e portas com outro servidor anteriormente marcado como centro de comando e controle (C2) operado por BianLian. Já o RansomExx, também rastreado pela Microsoft sob o codinome Storm-2460, teria usado a mesma vulnerabilidade para tentar executar o framework Brute Ratel C2, ferramenta avançada usada em testes de penetração, mas que tem sido amplamente abusada por hackers.

Além disso, o trojan PipeMagic foi observado em ataques direcionados a organizações nos Estados Unidos, Venezuela, Espanha e Arábia Saudita. Nestes casos, a ameaça foi implantada por meio de web shells após a exploração da falha no SAP NetWeaver. Em um dos ataques, os invasores utilizaram uma execução de tarefa MSBuild embutida para explorar a vulnerabilidade CVE-2025-29824 no sistema de arquivos CLFS do Windows, uma falha de escalonamento de privilégios crítica.

As descobertas foram publicadas um dia após a empresa EclecticIQ denunciar que diversos grupos hackers chineses – identificados como UNC5221, UNC5174 e CL-STA-0048 – também estão explorando a falha CVE-2025-31324 para implantar cargas maliciosas. A empresa Onapsis, especializada em segurança SAP, confirmou que essas gangues vêm explorando não só a CVE-2025-31324, mas também uma falha de desserialização associada, a CVE-2025-42999, desde março de 2025. Ambas as vulnerabilidades afetam o mesmo componente do SAP, e a correção mais recente busca solucionar a raiz do problema.

Segundo a ReliaQuest, não há diferença prática entre as duas falhas enquanto a CVE-2025-31324 continuar explorável, já que ela permite acesso completo ao sistema mesmo com privilégios mínimos. “Um invasor pode explorar ambas as falhas com ou sem autenticação de forma semelhante. Por isso, a recomendação de mitigação é a mesma para os dois casos”, concluiu a empresa.

Via - THN