گروه‌های باج‌افزاری به حملات جاری علیه SAP NetWeaver پیوسته‌اند و از آسیب‌پذیری بحرانی CVE-2025-31324 سوءاستفاده می‌کنند که امکان اجرای کد از راه دور را فراهم می‌کند. این آسیب‌پذیری در NetWeaver Visual Composer اجازه آپلود فایل‌های مخرب بدون نیاز به احراز هویت را می‌دهد. گروه‌های باج‌افزاری RansomEXX و BianLian نیز به این حملات پیوسته‌اند، اگرچه هنوز موفق به استقرار بارهای باج‌افزاری نشده‌اند.

محققان امنیتی همچنین گروه‌های هکری چینی شامل Chaya_004، UNC5221، UNC5174 و CL-STA-0048 را به عنوان مهاجمان این آسیب‌پذیری شناسایی کرده‌اند. بر اساس یافته‌های Forescout، حداقل 581 نمونه SAP NetWeaver (شامل زیرساخت‌های حیاتی در انگلستان، آمریکا و عربستان سعودی) در معرض خطر قرار گرفته‌اند. SAP در 24 آوریل وصله‌های اضطراری منتشر کرد و CISA این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های شناخته شده اضافه کرده است. مدیران SAP باید فوراً سرورهای NetWeaver خود را به‌روزرسانی کنند یا سرویس Visual Composer را غیرفعال کنند.