Китайских хакеров обвинили в глобальных атаках через уязвимость SAP

Группа, связанная с китайскими государственными интересами, организовала масштабную кибероперацию с использованием уязвимости CVE-2025-31324 в платформе SAP NetWeaver. Об этом сообщил аналитик EclecticIQ Арда Бююккая, представив подробный отчёт об инструментах и целях атак.

Бреши в системе позволяли загружать вредоносные файлы без авторизации и запускать удалённый код на серверах. Жертвами стали более 580 критически важных инфраструктур по всему миру: энергетика, водоснабжение и нефтегазовая отрасль в Великобритании и США, а также госструктуры Саудовской Аравии.

В открытом каталоге по IP-адресу, контролируемому злоумышленниками, эксперты нашли файл с логами атак и списком заражённых серверов. Отдельно выявлен список из 800 потенциальных целей, использующих SAP, — предполагается, что атаки продолжатся.

По данным EclecticIQ, за операцией стоят киберподразделения UNC5221, UNC5174 и ранее известная CL-STA-0048, уже фигурировала в атаках на Южную Азию. Также участвует неатрибутированная группа, связанная с китайской цифровой инфраструктурой, активно сканирующая интернет на предмет уязвимых SAP-серверов. Хакеры применяют веб-оболочки и шифрованные каналы для закрепления доступа и скрытной работы внутри систем жертв.