Lors d'une cyberattaque de trois jours en avril, des pirates informatiques ont exploité une vulnérabilité SAP récemment révélée pour infiltrer une entreprise chimique basée aux États-Unis, déploiement d'un malware Linux furtif connu sous le nom de porte dérobée Auto-Color.
L'entreprise de cybersécurité Darktrace dit les attaquants ont obtenu l'accès grâce à une faille critique dans SAP NetWeaver (CVE-2025-31324), leur permettant d'installer le logiciel malveillant et de communiquer avec une infrastructure malveillante connue. L'attaque a été stoppée avant que des dégâts importants ne se produisent., grâce à la technologie de défense autonome de l'entreprise, qui a isolé les systèmes affectés.
Une combinaison rare d'exploit et de logiciel malveillant
L'association d'une vulnérabilité SAP zero-day avec Auto-Color, un cheval de Troie d'accès à distance (RAT) observé pour la première fois à la fin de l'année dernière, est une combinaison assez unique. En fait, il s'agit du premier cas connu de malware diffusé via une exploitation SAP.
SAP a divulgué la faille CVE-2025-31324 le 1er avril 24, avertissement indiquant qu'il permettait aux attaquants de télécharger des fichiers sur un serveur NetWeaver, ouvrir la porte pour exécution de code distant et potentiellement un contrôle total du système. Quelques jours plus tard, Darktrace a détecté l'exploit utilisé dans la nature.
Comment l'attaque s'est déroulée?
Selon Darktrace, la brèche initiale a commencé en avril 25 avec une vague de trafic entrant suspect sondant un serveur public. Deux jours plus tard, les attaquants ont livré un fichier ZIP via un URI SAP conçu, exploiter la vulnérabilité pour implanter des fichiers malveillants dans le système. Des preuves de tunneling DNS ont rapidement suivi, une technique souvent utilisée pour extraire des données d'un réseau sans déclencher d'alertes..
Le logiciel malveillant a été diffusé peu de temps après via un script téléchargé qui récupérait et exécutait un binaire ELF (la charge utile d'Auto-Color), marquant la compromission totale de l'appareil hôte..
Couleur automatique: Une porte dérobée sophistiquée avec évasion intégrée
Auto-Color n'est pas une porte dérobée ordinaire. Il se renomme pour ressembler à un fichier journal système et s'enfouit profondément dans les systèmes Linux., gagner en persistance en modifiant les bibliothèques du système principal. Il utilise une technique connue sous le nom de manipulation de précharge, lui permettant de se connecter à presque toutes les applications lancées sur l'appareil.
Mais ce qui rend Auto-Color particulièrement dangereux, c'est sa capacité à rester en sommeil.. S'il ne peut pas se connecter à son système de commande et de contrôle (C2) serveur, généralement via des canaux cryptés sur le port 44, il supprime son comportement, éviter la détection dans les environnements sandbox ou les réseaux isolés. Ce n'est que lorsqu'il atteint avec succès son opérateur qu'il active toute sa gamme de capacités.
Une réponse contrôlée a permis d'éviter des dégâts plus importants
La plateforme Cyber AI de Darktrace a détecté les téléchargements de fichiers inhabituels, Comportement DNS, et les connexions sortantes dès le début. Son système de réponse autonome a imposé une “modèle de vie” sur l'appareil compromis, en le limitant à l'activité commerciale normale et en empêchant tout mouvement latéral supplémentaire.
Le trafic sortant du logiciel malveillant vers une adresse C2 connue (146.70.41.178) a également été bloqué, empêcher Auto-Color de lancer des commandes à distance telles que les shells inversés, exécution du fichier, ou manipulation de proxy — des fonctionnalités censées faire partie de son protocole C2 modulaire.
L'acteur de la menace comprenait clairement les mécanismes internes de Linux et a pris des mesures pour minimiser la visibilité, a déclaré un porte-parole de Darktrace. Mais en identifiant et en contenant l’activité tôt, les systèmes de l'entreprise de sécurité ont empêché un incident beaucoup plus dommageable.
final Words
Cette attaque montre directement à quelle vitesse les vulnérabilités nouvellement révélées peuvent être exploitées dans des environnements réels., surtout lorsqu'il est associé à des logiciels malveillants avancés comme Auto-Color. Bien que les logiciels malveillants restent une menace, La réponse rapide de Darktrace a donné à l'équipe de sécurité interne de l'entreprise le temps nécessaire pour enquêter., pièce, et remédier.
Les chercheurs en sécurité avertissent que le malware Auto-Color est susceptible de continuer à évoluer. Sa furtivité, adaptabilité, et sa capacité à persister après plusieurs redémarrages en font une arme puissante entre les mains des acteurs malveillants., en particulier ceux ciblant les secteurs à forte valeur ajoutée
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: