En un ciberataque de tres días en abril, Los piratas informáticos explotaron una vulnerabilidad de SAP recientemente descubierta para infiltrarse en una empresa química con sede en EE. UU., Implementando un malware sigiloso para Linux conocido como puerta trasera Auto-Color.
La empresa de ciberseguridad Darktrace dice Los atacantes obtuvieron acceso a través de una falla crítica en SAP NetWeaver (CVE-2025-31324), Permitiéndoles instalar el malware y comunicarse con infraestructura maliciosa conocida. El ataque fue detenido antes de que se produjeran daños significativos., Gracias a la tecnología de defensa autónoma de la compañía., que aisló los sistemas afectados.
Una rara combinación de exploit y malware
La combinación de una vulnerabilidad de día cero de SAP con Auto-Color, un troyano de acceso remoto (RATA) observado por primera vez a finales del año pasado, es una combinación bastante única. De hecho, Este es el primer caso conocido de malware distribuido a través de la explotación de SAP..
SAP reveló la falla CVE-2025-31324 en abril 24, advirtiendo que permitía a los atacantes cargar archivos a un servidor NetWeaver, abriendo la puerta para ejecución remota de código y potencialmente control total del sistema. Sólo unos días después, Darktrace detectó que el exploit se estaba utilizando de forma activa.
¿Cómo se desarrolló el ataque??
Según Darktrace, La brecha inicial comenzó en abril 25 Con una ola de tráfico entrante sospechoso que investiga un servidor público. Dos días después, Los atacantes entregaron un archivo ZIP a través de una URI de SAP diseñada, Explotar la vulnerabilidad para plantar archivos maliciosos en el sistema. Pronto aparecieron pruebas de tunelización DNS, una técnica que se utiliza a menudo para extraer datos de una red sin activar alertas..
El malware se distribuyó poco después a través de un script descargado que obtuvo y ejecutó un binario ELF (la carga útil de Auto-Color), lo que marcó el compromiso total del dispositivo host..
Color automático: Una puerta trasera sofisticada con evasión incorporada
Auto-Color no es una puerta trasera común y corriente. Se renombra a sí mismo para parecerse a un archivo de registro del sistema y se entierra profundamente dentro de los sistemas Linux., Ganando persistencia modificando las bibliotecas centrales del sistema. Utiliza una técnica conocida como manipulación de precarga., Permitiéndole conectarse a casi todas las aplicaciones iniciadas en el dispositivo.
Pero lo que hace que Auto-Color sea particularmente peligroso es su capacidad de permanecer inactivo.. Si no puede conectarse a su sistema de comando y control (C2) servidor, Generalmente a través de canales cifrados en el puerto 44, suprime su comportamiento, Evitar la detección en entornos sandbox o redes con espacio de aire. Sólo cuando llega con éxito a su operador activa su gama completa de capacidades..
La respuesta controlada evitó daños mayores
La plataforma Cyber AI de Darktrace detectó las descargas de archivos inusuales, Comportamiento del DNS, y conexiones salientes desde el principio. Su sistema de Respuesta Autónoma impuso una “patrón de vida” en el dispositivo comprometido, restringiéndola a la actividad comercial normal y evitando un mayor movimiento lateral.
El tráfico saliente del malware a una dirección C2 conocida (146.70.41.178) También fue bloqueado, evitar que Auto-Color inicie comandos remotos como shells inversos, ejecución de archivos, o manipulación de proxy, características que se cree que forman parte de su protocolo C2 modular.
El actor de amenazas comprendió claramente los aspectos internos de Linux y tomó medidas para minimizar la visibilidad., dijo un portavoz de Darktrace. Pero al identificar y contener la actividad de manera temprana, Los sistemas de la empresa de seguridad evitaron un incidente mucho más dañino.
Ultimas palabras
Este ataque muestra directamente con qué rapidez se pueden explotar las vulnerabilidades recién descubiertas en entornos del mundo real., Especialmente cuando se combina con malware avanzado como Auto-Color. Si bien el malware sigue siendo una amenaza, La rápida respuesta de Darktrace le dio al equipo de seguridad interna de la empresa el tiempo necesario para investigar., parche, y remediar.
Los investigadores de seguridad advierten que es probable que el malware Auto-Color siga evolucionando. Su sigilo, adaptabilidad, Y su capacidad de persistir después de reinicios lo convierten en un arma poderosa en manos de los actores de amenazas., En particular, aquellos que se dirigen a sectores de alto valor.