یک تهدید ناشناس مرتبط با چین به نام Chaya_004 از آسیب‌پذیری اخیراً افشا شده در SAP NetWeaver سوءاستفاده کرده است. این آسیب‌پذیری CVE-2025-31324 با امتیاز بحرانی 10.0 به مهاجمان اجازه اجرای کد از راه دور را می‌دهد و از طریق آپلود وب شل در نقطه پایانی “/developmentserver/metadatauploader” قابل استثمار است. صدها سیستم SAP در سراسر جهان شامل صنایع انرژی، تولید، رسانه، نفت و گاز، داروسازی، خرده‌فروشی و سازمان‌های دولتی قربانی این حملات شده‌اند.

مهاجمان متعدد از جمله Chaya_004 از این آسیب‌پذیری برای نصب وب شل و حتی استخراج ارز دیجیتال استفاده کرده‌اند. این گروه ابزار SuperShell نوشته شده با Golang را بر روی آدرس IP 47.97.42[.]177 میزبانی کرده و از ابزارهای مختلف چینی شامل NPS، SoftEther VPN، Cobalt Strike و سایر ابزارها استفاده می‌کند. برای دفاع در برابر این حملات، کاربران باید فوراً وصله‌های امنیتی را اعمال کنند، دسترسی به نقطه پایانی metadata uploader را محدود کرده و فعالیت‌های مشکوک را نظارت کنند.