Una nueva oleada de ataques ha puesto en el centro del escenario a SAP NetWeaver, gracias a una vulnerabilidad crítica conocida como CVE‑2025‑31324. Esta falla, que permite a atacantes tomar el control de sistemas sin autenticarse, ha sido activamente explotada para instalar el malware Auto‑Color, en este caso contra una empresa química estadounidense. El hallazgo fue realizado por la firma Darktrace durante una investigación en abril de 2025.
SAP lanzó un parche en abril, pero los atacantes llevaban explotando el fallo al menos desde marzo, incluso antes de que se hiciera pública la vulnerabilidad. “Auto‑Color ya explota CVE‑2025‑31324” no es solo un titular: es una realidad activa en múltiples sectores, desde universidades hasta entornos industriales y gubernamentales.
¿Qué hace Auto‑Color y por qué preocupa tanto?
Auto‑Color es un malware para sistemas Linux que destaca por su capacidad de camuflaje y persistencia. Una vez que infecta un sistema:
- Se adapta según los permisos del usuario para evitar levantar sospechas.
- Puede ejecutar comandos remotamente, extraer datos y establecer control total del equipo afectado.
- Si detecta que está en un entorno controlado (como un laboratorio de análisis), se comporta como si fuera inofensivo, dificultando su detección y estudio.
- Incluye técnicas avanzadas para esconderse y mantenerse activo incluso después de reinicios.
La combinación de estas características lo hace especialmente peligroso, y el hecho de que ya explote CVE‑2025‑31324 en SAP NetWeaver lo convierte en una amenaza real para entornos empresariales.
Vía de entrada y cronología
- El punto débil está en un componente de SAP NetWeaver que permite a atacantes subir archivos maliciosos sin necesidad de estar autenticados.
- Se han documentado casos de explotación activa desde marzo, antes de que SAP lanzara el parche, lo que indica uso como zero-day.
- Desde finales de abril, empresas de ciberseguridad han confirmado ataques concretos donde se combina esta vulnerabilidad con la instalación de Auto‑Color.
Grupos vinculados a intereses estatales chinos y operadores de ransomware ya están usando esta vía para comprometer objetivos en múltiples sectores.
Qué significa esto para tu empresa
Si tu organización utiliza SAP NetWeaver y no ha aplicado las actualizaciones correspondientes, existe un riesgo alto de compromiso silencioso. Auto‑Color es difícil de detectar, se esconde bien y puede pasar semanas sin ser descubierto. La ventana de exposición está abierta, y el exploit ya está circulando activamente.
Contexto histórico
Este no es un caso aislado. SAP ha sido históricamente un objetivo atractivo para actores de amenazas debido a su papel crítico en operaciones empresariales. Vulnerabilidades anteriores en NetWeaver, como RECON (CVE‑2020‑6287), ya habían sido explotadas por grupos estatales y cibercriminales con fines de espionaje y sabotaje.
Auto‑Color, por su parte, fue documentado por primera vez a principios de 2025 afectando a universidades y gobiernos, y ha ido evolucionando rápidamente en sofisticación. Su despliegue actual marca una convergencia peligrosa entre vulnerabilidades críticas en sistemas empresariales y malware de alta evasión, mostrando cómo los atacantes priorizan acceso silencioso y persistente a infraestructuras clave.
¿Cómo puede ayudarte Amber Solutions?
Desde Amber Solutions, podemos ayudarte a prevenir este tipo de escenarios antes de que ocurran o responder con rapidez si ya hay una intrusión:
- Análisis de vulnerabilidades y pentesting especializado en SAP: evaluamos si el cliente está expuesto a vulnerabilidades como, en este caso, CVE‑2025‑31324.
- Cyber Threat Intelligence: identificamos campañas activas como las que usan Auto‑Color y damos visibilidad de qué TTPs están en juego.
- Respuesta a incidentes y análisis forense: en caso de infección, actuamos rápido para contener, investigar y eliminar la amenaza.
- Simulaciones Red Team: para anticipar cómo un atacante podría aprovechar fallos similares dentro de un entorno real.
Mejor no dejarlo pasar: Auto‑Color ya explota CVE‑2025‑31324, y eso debería ser suficiente para revisar la postura de seguridad de la empresa. En Amber Solutions te ayudamos a gestionar esta vulnerabilidad y otras antes de que la aprovechen. Ponte en contacto con nosotros y da el siguiente paso hacia una defensa más sólida.
