Çinli tehdit aktörleri, SAP'deki CVE-2025-31324 uzaktan kod yürütme (RCE) güvenlik açığını kullanarak Golang tabanlı SuperShell kötü amaçlı yazılımını dağıtıyor.

09.05.2025

Çin bağlantılı bir tehdit aktörü olan Chaya_004, SAP NetWeaver sistemlerinde bulunan kritik bir güvenlik açığını aktif şekilde istismar ederken gözlemlendi. CVSS puanı 10.0 olan bu güvenlik açığı, CVE-2025-31324 olarak tanımlanmakta ve kimliği doğrulanmamış saldırganların savunmasız bir sunucu uç noktası üzerinden kötü amaçlı dosyalar yükleyerek uzaktan rastgele kod çalıştırmasına olanak tanımaktadır. Bu istismar faaliyetlerinin 2025 Nisan ayının sonlarından beri sürdüğü tespit edilmiştir.

Saldırı vektörü, güvenlik kontrollerinden yoksun belirli bir yükleme işlevini hedef alarak web shell’lerin sisteme yüklenmesine izin vermektedir. Güvenlik açığının kamuya açıklanmasının ardından, saldırganların bu zafiyetten yararlanarak sistemlerde kalıcılık sağlamak ve kontrol alanlarını genişletmek amacıyla çeşitli araçlar yüklediği birçok olay kayıtlara geçmiştir. Tespit edilen bu araçlar arasında, saldırganlara ait altyapıyla ilişkilendirilen SuperShell adlı Golang tabanlı bir ters bağlantı kabuğu da bulunmaktadır.

Yapılan araştırmalar, SuperShell’in barındırıldığı IP adresinde sahte sertifikalar kullanan ve izinsiz iletişim için kullanılan portlar da dâhil olmak üzere başka zararlı hizmetlerin de çalıştığını ortaya koymuştur. Altyapının daha derinlemesine incelenmesi, kullanılan araç setinin oldukça kapsamlı olduğunu göstermekte ve kullanılan araçların ve barındırma hizmetlerinin özellikleri göz önüne alındığında, saldırganların teknik olarak yetkin ve Çin kaynaklı olduklarına işaret etmektedir.

Birçok siber güvenlik firması, benzer keşif ve sızma girişimlerinin 2025 Ocak ayı gibi erken bir tarihte başladığını bildirmiştir; sistemlere yönelik başarılı ihlallerin ise Mart ayında gerçekleştiği doğrulanmıştır. Bu saldırılar, çok sayıda sektörde ve coğrafyada faaliyet gösteren kuruluşları etkilemiş olup, kampanyanın belirli hedeflere yönelik olmaktan ziyade fırsatçı bir yapıda olduğunu ve internete açık, yamalanmamış tüm SAP sistemlerini hedef aldığını göstermektedir.

Güvenlik analistleri, mevcut yamaların gecikmeden uygulanmasının önemine dikkat çekmekte; ayrıca uç nokta erişimlerinin sınırlandırılması, kullanılmayan hizmetlerin devre dışı bırakılması ve olağandışı etkinliklerin yakından izlenmesi gibi ek önlemlerin alınmasını önermektedir. Güvenlik güncellemeleri yayınlanmış olsa da, önceden yerleştirilmiş web shell’lerin varlığı, saldırıya uğramış sistemlerin yama sonrasında dahi tehlike altında olabileceğini göstermektedir.