Em um ataque cibernético de três dias em abril, hackers exploraram uma vulnerabilidade SAP recentemente divulgada para se infiltrar em uma empresa química sediada nos EUA, implantando um malware Linux furtivo conhecido como backdoor Auto-Color.
Empresa de segurança cibernética Darktrace diz os atacantes obtiveram acesso por meio de uma falha crítica no SAP NetWeaver (CVE-2025-31324), permitindo que eles instalem o malware e se comuniquem com a infraestrutura maliciosa conhecida. O ataque foi interrompido antes que ocorressem danos significativos, graças à tecnologia de defesa autônoma da empresa, que isolou os sistemas afetados.
Uma combinação rara de exploit e malware
O emparelhamento de uma vulnerabilidade SAP de dia zero com Auto-Color, um Trojan de acesso remoto (RATO) observado pela primeira vez no final do ano passado, é uma combinação bastante única. De fato, este é o primeiro caso conhecido de malware sendo distribuído por meio de exploração SAP.
A SAP divulgou a falha CVE-2025-31324 em abril 24, aviso de que permitiu que invasores carregassem arquivos para um servidor NetWeaver, abrindo a porta para execução remota de código e potencialmente controle total do sistema. Poucos dias depois, O Darktrace detectou o exploit sendo usado na prática.
Como o ataque se desenrolou?
De acordo com Darktrace, a violação inicial começou em abril 25 com uma onda de tráfego de entrada suspeito investigando um servidor público. Dois dias depois, os invasores entregaram um arquivo ZIP por meio de um URI SAP criado, explorando a vulnerabilidade para plantar arquivos maliciosos no sistema. Logo surgiram evidências de tunelamento de DNS — uma técnica frequentemente usada para extrair dados de uma rede sem disparar alertas..
O malware foi entregue logo depois por meio de um script baixado que buscou e executou um binário ELF — a carga útil do Auto-Color — marcando o comprometimento total do dispositivo host.
Cor automática: Um Backdoor sofisticado com evasão incorporada
O Auto-Color não é um backdoor comum. Ele se renomeia para se assemelhar a um arquivo de log do sistema e se enterra profundamente nos sistemas Linux, ganhando persistência alterando bibliotecas do sistema central. Ele usa uma técnica conhecida como manipulação de pré-carga, permitindo que ele se conecte a quase todos os aplicativos iniciados no dispositivo.
Mas o que torna o Auto-Color particularmente perigoso é sua capacidade de permanecer inativo. Se não conseguir se conectar ao seu comando e controle (C2) servidor, normalmente por meio de canais criptografados na porta 44, ele suprime seu comportamento, evitando a detecção em ambientes sandbox ou redes isoladas. Somente quando atinge com sucesso seu operador é que ele ativa toda a sua gama de capacidades.
Resposta controlada evitou danos maiores
A plataforma Cyber AI da Darktrace detectou downloads de arquivos incomuns, Comportamento do DNS, e conexões de saída desde o início. Seu sistema de Resposta Autônoma impôs uma “padrão de vida” no dispositivo comprometido, restringindo-o à atividade comercial normal e impedindo novos movimentos laterais.
O tráfego de saída do malware para um endereço C2 conhecido (146.70.41.178) também foi bloqueado, impedindo que o Auto-Color inicie comandos remotos, como shells reversos, execução de arquivo, ou manipulação de proxy — recursos que se acredita serem parte de seu protocolo modular C2.
O agente da ameaça entendeu claramente os detalhes internos do Linux e tomou medidas para minimizar a visibilidade, disse um porta-voz da Darktrace. Mas ao identificar e conter a atividade precocemente, os sistemas da empresa de segurança evitaram um incidente muito mais prejudicial.
Palavras finais
Este ataque mostra diretamente a rapidez com que vulnerabilidades recentemente divulgadas podem ser exploradas em ambientes do mundo real, especialmente quando combinado com malware avançado como o Auto-Color. Embora o malware continue sendo uma ameaça, A resposta rápida da Darktrace deu à equipe de segurança interna da empresa o tempo necessário para investigar, remendo, e remediar.
Pesquisadores de segurança alertam que o malware Auto-Color provavelmente continuará evoluindo. Sua furtividade, adaptabilidade, e a capacidade de persistir após reinicializações o tornam uma arma potente nas mãos de agentes de ameaças, especialmente aqueles que visam setores de alto valor
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: