محققان امنیتی Forescout Vedere Labs حملات جاری علیه آسیب‌پذیری بحرانی SAP NetWeaver را به یک گروه تهدید چینی مرتبط کرده‌اند. SAP در ۲۴ آوریل وصله اضطراری برای رفع این نقص امنیتی آپلود فایل غیرمجاز (CVE-2025-31324) در SAP NetWeaver Visual Composer منتشر کرد. این آسیب‌پذیری به مهاجمان غیرمجاز اجازه آپلود فایل‌های مخرب بدون احراز هویت می‌دهد که منجر به اجرای کد از راه دور و احتمال سازش کامل سیستم می‌شود.

حملات اخیر در ۲۹ آوریل به گروه تهدید چینی Chaya_004 نسبت داده شده که از آدرس‌های IP متعلق به ارائه‌دهندگان ابری چینی مانند علی‌بابا، تنسنت و هواوی استفاده می‌کند. مهاجمان ابزارهای چینی‌زبان از جمله SuperShell را مستقر کرده‌اند. بنیاد Shadowserver در حال حاضر ۲۰۴ سرور SAP NetWeaver آسیب‌پذیر آنلاین را رصد می‌کند و CISA این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های شناخته‌شده مورد سوءاستفاده اضافه کرده است. مدیران SAP باید فوراً سیستم‌های خود را وصله کنند و دسترسی به سرویس‌های آپلودر متادیتا را محدود کنند.