Un grupo de ciberdelincuentes ha estado aprovechando una vulnerabilidad crítica en SAP NetWeaver, identificada como CVE-2025-31324, para desplegar el malware Auto-Color en sistemas Linux. El ataque afectó a una empresa del sector químico con sede en Estados Unidos.
El incidente fue detectado durante una investigación de seguridad realizada en abril de 2025, donde se descubrió que Auto-Color no solo seguía activo, sino que había evolucionado con nuevas técnicas de evasión más sofisticadas, lo que complica aún más su detección.
Según los hallazgos, el ataque se inició el 25 de abril, aunque la explotación activa del fallo se produjo un par de días después. En ese momento, los atacantes lograron introducir en el sistema un archivo ELF (formato ejecutable típico de Linux), lo que marcó el comienzo de la infección.
El malware Auto-Color fue identificado por primera vez en febrero de 2025 por investigadores de seguridad, quienes lo catalogaron como una amenaza particularmente difícil de detectar y eliminar. Su comportamiento altamente evasivo y su capacidad para permanecer oculto una vez que compromete un sistema lo convierten en un dolor de cabeza para los equipos de ciberseguridad.
Una de las características que más llama la atención es su capacidad para ajustarse según el nivel de privilegios del usuario que lo ejecuta. Además, utiliza técnicas avanzadas de persistencia, como la modificación del archivo ld.so.preload, lo que le permite inyectar bibliotecas compartidas de forma sigilosa y mantenerse activo incluso tras reinicios del sistema.
Auto-Color viene equipado con un conjunto de funciones bastante completas para el control remoto de sistemas comprometidos. Entre sus capacidades destacan:
Ejecución de comandos arbitrarios
Modificación de archivos del sistema
Shell inverso para acceso remoto
Redirección de tráfico mediante proxy
Actualizaciones dinámicas de configuración
Un módulo rootkit que oculta su presencia frente a herramientas de análisis o antivirus
Curiosamente, en los primeros casos analizados, los investigadores no pudieron identificar cómo el malware lograba infiltrarse inicialmente en los sistemas. Sin embargo, los ataques parecían estar dirigidos principalmente a universidades y entidades gubernamentales en América del Norte y Asia.
Más recientemente, nuevas investigaciones revelaron que los atacantes detrás de Auto-Color están explotando la vulnerabilidad CVE-2025-31324 en SAP NetWeaver. Este fallo crítico permite a los atacantes cargar binarios maliciosos sin necesidad de autenticarse, logrando así ejecución remota de código (RCE) en los servidores afectados.
Cronología del ataque (Fuente: Darktrace)
Conoce más sobre: Vulnerabilidad en macOS Sploitlight Filtra Datos de Apple Intelligence
SAP lanzó un parche para corregir la vulnerabilidad CVE-2025-31324 en abril de 2025. Sin embargo, poco después, empresas de ciberseguridad como ReliaQuest, Onapsis y watchTowr comenzaron a detectar intentos activos de explotación, muchos de los cuales se intensificaron en los días siguientes.
Ya para mayo, grupos de ransomware y actores vinculados a intereses estatales chinos se habían sumado a la ola de ataques. Además, investigadores de seguridad descubrieron que esta falla llevaba siendo explotada como vulnerabilidad de día cero desde al menos mediados de marzo de 2025, lo que indica que los atacantes ya estaban un paso adelante antes de que se conociera públicamente.
Por si fuera poco, también se ha observado una evolución significativa en las tácticas de evasión utilizadas por Auto-Color. Una de las técnicas más recientes detectadas consiste en que, si el malware no puede comunicarse con su servidor de comando y control (C2), se comporta de forma pasiva, suprimiendo la mayoría de sus acciones maliciosas. Esta estrategia es especialmente efectiva en entornos de análisis aislados o sandboxes, donde el malware parece inofensivo a simple vista.
Este mecanismo de “hibernación” impide que analistas de seguridad descubran fácilmente cómo funciona el malware, ocultando su verdadero propósito, como la exfiltración de credenciales, técnicas de persistencia y carga de otros módulos maliciosos.
Esto se suma a una serie de características avanzadas que ya habían sido documentadas previamente, como:
Ejecución condicional según privilegios del usuario
Uso de nombres de archivo aparentemente legítimos
Enganche de funciones críticas en libc
Registro de actividad en directorios falsos
Comunicaciones C2 cifradas mediante TLS
Hashes únicos para cada muestra del malware
Un “interruptor de apagado” que desactiva su funcionamiento bajo ciertas condiciones
Con Auto-Color explotando activamente CVE-2025-31324, los administradores de sistemas que utilizan SAP NetWeaver deben actuar con urgencia. Es fundamental aplicar los parches de seguridad o seguir las medidas de mitigación incluidas en el boletín oficial de SAP, disponible exclusivamente para clientes registrados.