Hackers foram vistos explorando uma vulnerabilidade crítica no SAP NetWeaver, identificada como
CVE-2025-31324
, para implantar o malware Auto-Color Linux em um ciberataque contra uma empresa de produtos químicos sediada nos EUA.
A empresa de cibersegurança Darktrace descobriu o ataque durante uma resposta a incidentes em abril de 2025, onde uma investigação revelou que o malware Auto-Color havia evoluído para incluir táticas de evasão ainda mais avançadas.
A Darktrace relata que o ataque começou em 25 de abril, mas a exploração ativa ocorreu dois dias depois, com a entrega de um arquivo ELF (executável Linux) na máquina alvo.
O malware Auto-Color foi documentado pela primeira vez pelos pesquisadores da Unit 42 da Palo Alto Networks em fevereiro de 2025, que destacaram sua natureza evasiva e a dificuldade em erradicá-lo uma vez estabelecido em uma máquina.
O backdoor ajusta seu comportamento com base no nível de privilégio do usuário que está executando e usa 'ld.so.preload' para persistência discreta via injeção de objeto compartilhado.
O Auto-Color possui capacidades como execução de comandos arbitrários, modificação de arquivos, shell reverso para acesso remoto completo, encaminhamento de tráfego proxy e atualização de configuração dinâmica.
Ele também tem um módulo rootkit que esconde suas atividades maliciosas das ferramentas de segurança.
A Unit 42 não conseguiu descobrir o vetor de infecção inicial dos ataques que observou, mirando universidades e organizações governamentais na América do Norte e na Ásia.
De acordo com a pesquisa mais recente da Darktrace, os agentes de ameaça por trás do Auto-Color exploram a
CVE-2025-31324
, uma vulnerabilidade crítica no NetWeaver que permite aos atacantes não autenticados fazer upload de binários maliciosos para alcançar execução remota de código (RCE).
A SAP corrigiu a falha em abril de 2025, enquanto as empresas de segurança ReliaQuest, Onapsis e watchTowr relataram ter visto tentativas de exploração ativa, que culminaram apenas alguns dias depois.
Até maio, atores de ransomware e hackers patrocinados pelo estado chinês haviam se juntado à atividade de exploração, enquanto a Mandiant relatou encontrar evidências de exploração de zero-day para a
CVE-2025-31324
desde pelo menos meados de março de 2025.
Além do vetor de acesso inicial, a Darktrace também descobriu uma nova medida de evasão implementada na versão mais recente do Auto-Color.
Se o Auto-Color não conseguir se conectar ao seu servidor de Comando e Controle (C2) codificado, ele suprime a maioria de seu comportamento malicioso.
Isso se aplica a ambientes isolados e air-gapped, onde o malware pareceria benigno para os analistas.
"Se o servidor C2 estiver inacessível, o Auto-Color efetivamente para e se abstém de implantar sua funcionalidade maliciosa completa, parecendo benigno para os analistas", explica a Darktrace.
"Esse comportamento impede que esforços de engenharia reversa descubram seus payloads, mecanismos de captura de credenciais ou técnicas de persistência."
Isso se soma ao que a Unit 42 documentou anteriormente, incluindo lógica de execução consciente de privilégio, uso de nomes de arquivos benignos, interceptação de funções libc, uso de um diretório falso de logs, conexões C2 sobre TLS, hashes únicos para cada amostra e a existência de um "kill switch".
Com o Auto-Color agora explorando ativamente a
CVE-2025-31324
, os administradores devem agir rapidamente para aplicar as atualizações de segurança ou as mitigações fornecidas no boletim da SAP exclusivo para clientes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...