Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

El malware Auto-Color se distribuyó a través de una vulnerabilidad en SAP NetWeaver

Redazione RHC : 1 agosto 2025 07:12

Darktrace ha registrado un ataque dirigido a una empresa química estadounidense, en el que los atacantes explotaron una vulnerabilidad crítica en la plataforma SAP NetWeaver. La amenaza, registrada como CVE-2025-31324, consistía en un error en el mecanismo de carga de archivos que permitía a los atacantes ejecutar código arbitrario en el servidor sin autenticación. Aunque SAP lanzó una actualización en abril, el incidente ocurrió cuando la corrección aún no se había instalado.

El ataque se desarrolló durante tres días. Las primeras señales fueron actividad similar a un escaneo de reconocimiento en dispositivos con acceso a internet, presumiblemente con SAP NetWeaver. Posteriormente se descubrió que los atacantes habían explotado la vulnerabilidad para descargar un archivo ejecutable malicioso en formato ELF, correspondiente a una familia de malware llamada Auto-Color.

Este malware fue descrito por primera vez en febrero de 2025 por la Unidad 42 de Palo Alto Networks. En ese momento, atacaba universidades e instituciones gubernamentales de Norteamérica y Asia. Auto-Color funciona como un troyano de acceso remoto, lo que otorga a los atacantes control total sobre los hosts Linux infectados. Sus capacidades incluyen la ejecución de shell, la creación y ejecución de archivos, la manipulación de la configuración del proxy del sistema, la gestión de la carga, la recopilación de información del sistema y la capacidad de autodestruirse completamente al recibir una orden.

Una de las características clave de Auto-Color es su capacidad para ocultar su actividad. Si no se establece una conexión con el servidor de comando y control, el malware se ralentiza o incluso deja de funcionar por completo, imitando un archivo inofensivo. Esto le permite evadir los sistemas de detección de amenazas y generar menos sospechas en la fase inicial de penetración.

Durante el incidente de abril, Auto-Color no logró establecer una conexión persistente con la infraestructura externa de C&C, pero incluso en este estado, mostró un comportamiento complejo, lo que demuestra un profundo conocimiento de la lógica interna de Linux y cautela en sus acciones. Según los analistas, los autores de este malware minimizaron deliberadamente el riesgo de detección al deshabilitar las funciones activas en caso de fallo de conexión con el servidor C&C.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Exploit RCE de día cero y sin clics a la venta en iOS. Explora el mercado de ciberarmas para espionaje.
Di Redazione RHC - 01/08/2025

Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...

Microsoft enumera 40 empleos que desaparecerán gracias a la IA. Los empleos prácticos se mantienen.
Di Redazione RHC - 01/08/2025

Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.
Di Redazione RHC - 01/08/2025

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...

¡La fiebre de la IA llega a Wyoming! Un centro de datos de 10 gigavatios consumirá más electricidad que 600.000 personas.
Di Redazione RHC - 31/07/2025

El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...