Hackers exploram falha crítica no SAP NetWeaver e invadem servidores Linux de empresa química nos EUA
Ataque cibernético durou três dias e usou malware sofisticado com backdoor para controle remoto; SAP já lançou correção, mas sistemas desatualizados seguem vulneráveis
Uma vulnerabilidade crítica no SAP NetWeaver (identificada como CVE-2025-31324) foi explorada com sucesso por hackers em um ataque cibernético direcionado a uma empresa química norte-americana em abril de 2025. A invasão comprometeu servidores Linux da organização e se estendeu por três dias, até ser detectada pela empresa de segurança digital Darktrace.
Durante o ataque, os criminosos instalaram o Auto-Color, um malware do tipo backdoor projetado especificamente para ambientes Linux. Classificado como um Trojan de Acesso Remoto (RAT), o Auto-Color permite que os invasores assumam controle total da máquina comprometida, podendo executar comandos, exfiltrar arquivos e até acionar uma função de autodestruição — dificultando a análise forense e reduzindo rastros da atividade maliciosa.
O recurso mais avançado do Auto-Color é sua habilidade de se manter oculto caso não consiga se conectar ao servidor de comando e controle (C2), uma técnica que destaca a sofisticação dos grupos envolvidos na campanha. Segundo analistas, os mesmos atores já haviam sido vinculados a ataques anteriores contra setores governamentais e educacionais.
A SAP já disponibilizou uma atualização de segurança para corrigir a falha, mas especialistas alertam que sistemas que ainda não aplicaram o patch continuam em risco elevado de invasão. A recomendação imediata é a atualização dos sistemas afetados, reforço das práticas de monitoramento e adoção de camadas adicionais de proteção contra malwares persistentes.
Esse caso ressalta a importância da gestão proativa de vulnerabilidades e da resposta rápida a incidentes para mitigar riscos em ambientes corporativos críticos, especialmente em setores estratégicos como a indústria química.
