Cibercriminosos exploraram uma vulnerabilidade crítica no SAP NetWeaver para comprometer sistemas Linux e instalar o malware Auto-Color em uma empresa química dos Estados Unidos, em abril de 2025. A falha, identificada como CVE-2025-31324, permite execução remota de código via upload de arquivos não autenticado e já foi corrigida pela SAP no mesmo mês. Segundo relatório da Darktrace, o ataque durou três dias e envolveu tentativas de download de arquivos suspeitos e comunicação com infraestrutura maliciosa associada ao Auto-Color.
A infecção foi detectada em uma máquina exposta à internet, possivelmente operando com SAP NetWeaver. O Auto-Color é um backdoor para sistemas Linux, similar a um trojan de acesso remoto, documentado pela Unit 42 da Palo Alto Networks em fevereiro. Ele já havia sido usado em ataques a universidades e órgãos governamentais na América do Norte e Ásia entre novembro e dezembro de 2024. O malware adota técnicas furtivas, ocultando sua atividade quando não consegue se conectar ao servidor de comando e controle (C2), dificultando sua detecção.
Suas capacidades incluem execução remota, criação de arquivos, manipulação de payloads, perfis de sistema, configuração de proxy e até autodestruição por meio de um kill switch. A análise revelou que o Auto-Color foi projetado com profundo conhecimento de sistemas Linux, executando suas ações com cautela para evitar alertas de segurança. A exploração da falha no SAP permitiu o comprometimento da máquina exposta, servindo como vetor inicial para a instalação do malware.
