Die digitale Landschaft lebt von stetiger Entwicklung, doch mit dem technologischen Fortschritt gehen auch neue Gefahren einher. In jüngster Zeit rücken besonders hochentwickelte und zielgerichtete Cyberangriffe durch sogenannte Advanced Persistent Threats (APTs) stärker in den Fokus. Eine alarmierende Entwicklung ist die Ausnutzung der kritischen SAP-Sicherheitslücke mit der Bezeichnung CVE-2025-31324 durch mehrere China-gebundene Hackergruppen, welche weltweit 581 kritische Systeme kompromittieren konnten. Die Tragweite dieser Angriffe verdeutlicht, wie verwundbar selbst essenzielle Infrastrukturen gegenüber ausgeklügelten Angriffstechniken sein können und unterstreicht die Dringlichkeit verstärkter Sicherheitsmaßnahmen im SAP-Umfeld und darüber hinaus. Die Grundlage der Angriffe bildet die Sicherheitslücke CVE-2025-31324, eine authentifizierungsfreie Schwachstelle im SAP NetWeaver Framework, die es Angreifern ermöglicht, durch unauthorisierte Datei-Uploads Remote Code Execution durchzuführen.
Dies bedeutet, dass sie ohne vorherige Anmeldung Schadcode auf betroffene Systeme einschleusen und ausführen können. Die potenzielle Schädigung ist enorm, da SAP NetWeaver besonders in großen Unternehmen und öffentlichen Einrichtungen als Rückgrat komplexer Geschäftsprozesse dient. SAP-Systeme finden sich in einer Vielzahl kritischer Sektoren weltweit. Unter den betroffenen Organisationen befinden sich Versorgungsunternehmen für Erdgasverteilung, Wasser- und Abfallwirtschaftseinrichtungen im Vereinigten Königreich, Hersteller von Medizintechnik, Unternehmen der Öl- und Gasbranche in den Vereinigten Staaten sowie wichtige Ministerien in Saudi-Arabien, die für strategische Investitionen und Finanzregulierung verantwortlich sind. Diese breit angelegte Zielstruktur zeigt das gezielte Vorgehen der Angreiferle auf, die damit nicht nur wirtschaftliche, sondern auch geopolitische Interessen verfolgen.
Die Analyse, welche von einem renommierten niederländischen Cybersicherheitsunternehmen durchgeführt wurde, stützt sich auf öffentlich zugängliche Verzeichnisse, die auf mit den Angreifern assoziierten Servern entdeckt wurden. Diese belastenden Beweise offenbaren ein umfangreiches Netzwerk von kompromittierten SAP NetWeaver-Instanzen. Insgesamt wurden 581 Systeme aufgelistet, die erfolgreich infiltriert und mit Web-Shells versehen wurden, welche Angreifern persistenten Fernzugriff erlauben. Zusätzlich befindet sich dort eine Liste von 800 weiteren potenziellen Zielen, was auf weitere geplante Angriffe hindeutet. Drei verschiedene chinesische APT-Gruppen sind für die Ausnutzung der SAP-Sicherheitslücke verantwortlich.
Die Bedrohungsakteure, bekannt unter den Bezeichnungen UNC5221, UNC5174 und CL-STA-0048, zeigen unterschiedliche Vorgehensweisen bei der Sicherung ihres Zugangs und der Ausführung schädlicher Aktionen. So nutzt UNC5221 eine Rust-basierte Malware namens KrustyLoader, die dazu dient, zweite Stufen schädlicher Payloads auszuliefern. Diese können unter anderem Sliver beinhalten, eine modulare Plattform, die weitere Kontrolle und Persistenz garantiert. Gleichzeitig instrumentiert UNC5174 Tools wie SNOWLIGHT und den Go-basierten Trojaner VShell, die komplexe Backdoor-Funktionalitäten bieten. CL-STA-0048 versucht hingegen, interaktive Reverse-Shell-Verbindungen zu einem kontrollierten Server herzustellen, was eine direkte Fernsteuerung ermöglicht.
Die Kompromittierung basiert nicht nur auf der initialen Ausnutzung der unauthentifizierten Datei-Upload-Schwachstelle, sondern wird ergänzt durch folgenschwere Nachlade-Mechanismen. So setzen die Angreifer mehrere Web-Shells ein, die verschiedenste Möglichkeiten zur Ausführung von Befehlen auf den kompromittierten Systemen bieten – von einfachen Kommandos bis hin zur Installation weiterer Schadsoftware. Das Ausmaß und die Koordination der Angriffe lassen auf einen langfristig geplanten, strategischen Zugang zu kritischen Systemen schließen. SAP reagierte auf diese Bedrohung mit der Veröffentlichung spezifischer Sicherheitsupdates. Die schnelle Bereitstellung von Patches wie SAP Security Note 3594142 für CVE-2025-31324 sowie die Nachfolge-Sicherheitsmaßnahme SAP Security Note 3604119 zur Behebung einer Deserialisierungsschwachstelle (CVE-2025-42999) im Visual Composer Metadata Uploader zeigt das fortwährende Engagement.
Diese zweite Sicherheitslücke erlaubt einem privilegierten Nutzer das Einschleusen unzuverlässiger oder bösartiger Inhalte durch Insecure Deserialization, was weiteren Remote Code Execution ermöglicht. Die Kombination beider Schwachstellen macht die Bedrohung besonders gefährlich und hat bereits zu signifikanten Kompromittierungen geführt. Responsable Organisationen wird dringend empfohlen, zeitnah und konsequent die verfügbaren Updates einzuspielen. Dabei sollte nicht nur der Fokus auf der Behebung der unmittelbar erkannten Lücken liegen, sondern auch eine umfassende Untersuchung auf mögliche Hintertüren und bestehende Web-Shell-Installationen erfolgen. Das Anlegen von sogenannten Cleanup-Prozessen innerhalb der IT-Sicherheitsstrategie ist wichtig, um infizierte Systeme zu bereinigen und weitere ungewollte Zugriffe zu verhindern.
Die gezielte Auswahl und der Angriff auf SAP NetWeaver-Systeme sind kein Zufall. Die Plattform ist verbreitet und tief in Geschäftsprozesse integriert. Dadurch bieten erfolgreiche Angriffe nicht nur Zugang zu kritischen Daten, sondern auch zu wichtigen Unternehmens- und Regierungsfunktionen. Der Einsatz von Rust- und Go-basierter Malware sowie ausgefeilten Backdoors zeigt den hohen technischen Stand der Angreifer. Die Aktivitäten dieser Gruppen verdeutlichen ebenso, dass es sich um staatlich geförderte, hochprofessionelle Akteure handelt.
Ihre Angriffe sind von strategischem Wert, um ausländische Infrastrukturen zu überwachen, zu beeinflussen oder zu sabotieren. Die Überwachung und Analyse dieser Angriffe liefert wertvolle Erkenntnisse für die globale Cybersicherheitsgemeinschaft und unterstreicht die Notwendigkeit internationaler Zusammenarbeit bei der Abwehr von Bedrohungen dieser Größenordnung. Unternehmen und Organisationen sind gefordert, ihre SAP-Systeme nicht nur auf technische Sicherheitslücken zu überprüfen, sondern auch interne Prozesse hinsichtlich regelmäßiger Updates und Patch-Management zu optimieren. Awareness-Programme sollten gezielt die Risiken rund um Web-Shells und persistente Zugriffe behandeln. Das Monitoring der Netzwerkaktivitäten und die Analyse verdächtiger Muster sind essentielle Instrumente, um Angriffsmuster rechtzeitig zu erkennen.
Die Beobachtungen zeigen weiterhin, dass Cyberangriffe zunehmend intelligenter und komplexer werden. Die Verknüpfung unterschiedlicher Exploits, die Kombination von ungesicherten Softwarekomponenten sowie die Nutzung moderner Malware-Technologien erhöhen die Angriffschancen drastisch. Gleichzeitig erschwert dies die Erkennung und Abwehr für IT-Sicherheitsverantwortliche erheblich. Das erfordert verstärkte Investitionen in fortschrittliche Sicherheitslösungen und eine aktive Sicherheitskultur in Unternehmen. Zusätzlich zur technischen Ebene gewinnt die strategische Nachverfolgung von Bedrohungsakteuren an Bedeutung.
Die Zuordnung der Angriffe zu bestimmten Gruppen erlaubt es Sicherheitsbehörden und Unternehmen, präziser auf aktuelle Gefährdungslagen zu reagieren. Die Zusammenarbeit mit internationalen Cybersicherheitsorganisationen und der Austausch von Threat Intelligence sind entscheidend, um frühzeitig vor Angriffen gewarnt zu werden und entsprechend Schutzmaßnahmen einzuleiten. Im Zuge der wachsenden Bedeutung von Cloud-Infrastrukturen und digital vernetzten Systemen muss der Schutz kritischer Unternehmens- und Infrastrukturkomponenten als integraler Bestandteil der digitalen Resilienz verstanden werden. Die Ereignisse rund um die Ausnutzung der SAP-Sicherheitslücke CVE-2025-31324 sind ein eindrückliches Beispiel dafür, wie angreifbare Softwaresysteme mit weitreichenden Folgen missbraucht werden können. Proaktive Absicherung, kontinuierliche Überwachung und eine rasche Reaktion auf Sicherheitsvorfälle sind unerlässlich.
Mit Blick auf die Zukunft ist davon auszugehen, dass China-gebundene APT-Gruppen und andere hochentwickelte Angreifer weiterhin vermehrt Plattformen mit hoher Bedeutung ins Visier nehmen werden – insbesondere solche, die weitverbreitet und mit sensiblen Daten oder kritischen Prozessen verbunden sind. Die SAP NetWeaver-Kompromittierung sollte als Warnsignal dienen, um die allgemeine Cybersicherheitsstrategie zu schärfen und die Widerstandsfähigkeit von IT-Systemen nachhaltig zu stärken. Abschließend bleibt festzuhalten, dass die Sicherheit zeitkritischer Systeme nicht nur von technologischen Maßnahmen abhängt, sondern auch von der konsequenten Umsetzung von Sicherheitsrichtlinien und dem kontinuierlichen Engagement aller Beteiligten. Nur durch ganzheitliche und abgestimmte Ansätze kann die Bedrohungslage eingedämmt und der Schutz kritischer IT-Infrastrukturen gewährleistet werden.
