Auto-Color Backdoor
En una sofisticada campaña de ciberataque dirigida a una empresa química estadounidense en abril de 2025, los cibercriminales explotaron una vulnerabilidad crítica, ya parcheada, en SAP NetWeaver para implementar la puerta trasera Auto-Color. El incidente pone de relieve los riesgos persistentes que plantean los sistemas sin parches y las amenazas avanzadas de malware dirigidas a objetivos de alto valor.
Tabla de contenido
Explotación de CVE-2025-31324: una puerta de entrada a la ejecución remota de código
El núcleo del ataque es CVE-2025-31324, una vulnerabilidad crítica de carga de archivos no autenticados en SAP NetWeaver. Esta falla permite la ejecución remota de código (RCE) y fue parcheada por SAP en abril de 2025. A pesar de la corrección, los cibercriminales aprovecharon los sistemas sin parchear para comprometer un dispositivo expuesto públicamente. El ataque se extendió durante tres días e incluyó la descarga de archivos maliciosos y la comunicación con la infraestructura vinculada al malware Auto-Color.
Auto-Color: Una puerta trasera discreta y sofisticada
Analizado por primera vez en febrero de 2025, Auto-Color funciona de forma similar a un troyano de acceso remoto (RAT) diseñado para infectar entornos Linux. Se ha detectado previamente en ataques dirigidos a universidades y entidades gubernamentales en Norteamérica y Asia entre noviembre y diciembre de 2024.
Una de las características más reveladoras de Auto-Color es su capacidad para ocultar su comportamiento malicioso cuando no puede acceder a su servidor de Comando y Control (C2). Esta característica sugiere un alto grado de seguridad operativa y la intención de evitar la detección durante la respuesta a incidentes o el análisis en entornos aislados.
Capacidades clave de Auto-Color
Auto-Color ofrece un conjunto completo de funciones maliciosas diseñadas para proporcionar un control exhaustivo sobre los sistemas comprometidos. Estas incluyen:
- Capacidades de shell inverso
- Creación y ejecución de archivos
- Configuración del proxy del sistema
- Modificación de la carga útil global
- Perfilado del sistema
- Autoeliminación mediante interruptor de seguridad
Estas características permiten a los atacantes no sólo mantener un acceso persistente sino también adaptarse dinámicamente y borrar evidencia cuando sea necesario.
Cronología del ataque: una infiltración calculada
Los expertos en seguridad identificaron la intrusión el 28 de abril, cuando se detectó un binario ELF sospechoso en un servidor con conexión a internet que probablemente ejecutaba SAP NetWeaver. Sin embargo, los primeros indicios de reconocimiento y escaneo comenzaron al menos tres días antes, lo que indica una planificación cuidadosa.
Los atacantes utilizaron CVE-2025-31324 para distribuir una carga útil de segunda etapa, un binario ELF que resultó ser la puerta trasera Auto-Color. Una vez implementado, el malware demostró un profundo conocimiento de los sistemas Linux y ejecutó acciones con precisión mesurada, minimizando su impacto para evitar una detección temprana.
Una llamada de atención para la seguridad empresarial
Este incidente subraya la importancia de la aplicación oportuna de parches y la monitorización continua de la infraestructura crítica. El malware sofisticado como Auto-Color, sumado a las vulnerabilidades en plataformas empresariales como SAP NetWeaver, representa un riesgo significativo para organizaciones de todos los sectores. Los equipos de TI deben priorizar la gestión de vulnerabilidades y estar preparados para detectar y responder a amenazas persistentes y sigilosas.
