L’article publié par EclecticIQ met en lumière une campagne d’exploitation menée par des APT (advanced persistent threat) liés à la Chine en avril 2025. Ces acteurs ont ciblé les réseaux d’infrastructures critiques en exploitant une vulnérabilité dans SAP NetWeaver Visual Composer.
Les attaquants ont utilisé la vulnérabilité CVE-2025-31324, qui permet l’exécution de code à distance via un téléchargement de fichier non authentifié. Cette évaluation repose sur un répertoire exposé publiquement, contrôlé par les attaquants, contenant des journaux d’événements détaillés des systèmes compromis.
Les intrusions observées dans SAP NetWeaver sont attribuées à des unités de cyber-espionnage chinoises telles que UNC5221, UNC5174, et CL-STA-0048, connues pour être liées au Ministère de la Sécurité d’État chinois ou à des entités privées affiliées. Ces groupes visent à compromettre des infrastructures critiques, exfiltrer des données sensibles et maintenir un accès persistant à des réseaux de grande valeur à travers le monde.
Un acteur de menace non catégorisé, mais probablement lié à la Chine, mène une campagne de balayage et d’exploitation à grande échelle sur Internet contre les systèmes SAP NetWeaver, utilisant un serveur contrôlé par les attaquants à l’adresse IP 15.204.56[.]106.
🔗 Source originale : https://blog.eclecticiq.com/china-nexus-nation-state-actors-exploit-sap-netweaver-cve-2025-31324-to-target-critical-infrastructures