Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

El malware Auto-Color se distribuyó a través de una vulnerabilidad en SAP NetWeaver

Redazione RHC : 1 agosto 2025 07:12

Darktrace ha registrado un ataque dirigido a una empresa química estadounidense, en el que los atacantes explotaron una vulnerabilidad crítica en la plataforma SAP NetWeaver. La amenaza, registrada como CVE-2025-31324, consistía en un error en el mecanismo de carga de archivos que permitía a los atacantes ejecutar código arbitrario en el servidor sin autenticación. Aunque SAP lanzó una actualización en abril, el incidente ocurrió cuando la corrección aún no se había instalado.

El ataque se desarrolló durante tres días. Las primeras señales fueron actividad similar a un escaneo de reconocimiento en dispositivos con acceso a internet, presumiblemente con SAP NetWeaver. Posteriormente se descubrió que los atacantes habían explotado la vulnerabilidad para descargar un archivo ejecutable malicioso en formato ELF, correspondiente a una familia de malware llamada Auto-Color.

Este malware fue descrito por primera vez en febrero de 2025 por la Unidad 42 de Palo Alto Networks. En ese momento, atacaba universidades e instituciones gubernamentales de Norteamérica y Asia. Auto-Color funciona como un troyano de acceso remoto, lo que otorga a los atacantes control total sobre los hosts Linux infectados. Sus capacidades incluyen la ejecución de shell, la creación y ejecución de archivos, la manipulación de la configuración del proxy del sistema, la gestión de la carga, la recopilación de información del sistema y la capacidad de autodestruirse completamente al recibir una orden.

Una de las características clave de Auto-Color es su capacidad para ocultar su actividad. Si no se establece una conexión con el servidor de comando y control, el malware se ralentiza o incluso deja de funcionar por completo, imitando un archivo inofensivo. Esto le permite evadir los sistemas de detección de amenazas y generar menos sospechas en la fase inicial de penetración.

Durante el incidente de abril, Auto-Color no logró establecer una conexión persistente con la infraestructura externa de C&C, pero incluso en este estado, mostró un comportamiento complejo, lo que demuestra un profundo conocimiento de la lógica interna de Linux y cautela en sus acciones. Según los analistas, los autores de este malware minimizaron deliberadamente el riesgo de detección al deshabilitar las funciones activas en caso de fallo de conexión con el servidor C&C.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...