Darktrace detecteert geavanceerde Linux-aanval via Auto-Color backdoor-malware

Den Haag, 7 augustus 2025 – Uit nieuw onderzoek van Darktrace blijkt dat cybercriminelen actief misbruik maken van een recent ontdekte kwetsbaarheid in SAP NetWeaver (CVE-2025-31324) om Linux-systemen te infecteren met de geavanceerde Auto-Color backdoor-malware. Dankzij AI-gedreven detectie en snelle respons wist Darktrace een aanval op een Amerikaans chemiebedrijf vroegtijdig te stoppen. 

Slimme malware en misbruik van SAP-kwetsbaarheid
Op 28 april 2025 ontving het Security Operations Centre (SOC) van Darktrace een melding over een verdacht ELF-bestand dat werd gedownload op een internet-facing apparaat dat vermoedelijk SAP NetWeaver draaide. Analyse wees uit dat de aanval was gestart met het misbruik van CVE-2025-31324, een kritieke kwetsbaarheid die aanvallers in staat stelt om bestanden te uploaden naar de applicatieserver en remote code uit te voeren. 

De aanval verliep in meerdere fasen: via een downloadlink werd een shellscript binnengehaald, dat vervolgens leidde tot communicatie met bekende command-and-control (C2) infrastructuur. Uiteindelijk werd de Auto-Color malware gedownload — een Remote Access Trojan (RAT) die zich richt op Linux-systemen. 

Malware ontwijkt detectie en wacht op instructies
Auto-Color is ontworpen om onder de radar te blijven. De malware controleert eerst of het systeem root-toegang biedt. Indien dit het geval is, implanteert Auto-Color zichzelf diep in het systeem door gebruik te maken van de preload-functie in Linux en zichzelf te hernoemen naar een logmap-achtige locatie: /var/log/cross/auto-color. 

De malware probeert vervolgens verbinding te maken met een hardcoded IP-adres via TLS op poort 443. Alleen wanneer deze verbinding slaagt, activeert de malware zijn volledige functionaliteit – waaronder het stelen van gegevens, uitvoeren van opdrachten en zelfverwijdering. Wanneer de verbinding mislukt, blijft de malware passief om analyse te bemoeilijken. 

Snelle ingreep voorkomt escalatie
Darktrace detecteerde de eerste verdachte activiteit al op 25 april, met ongebruikelijk verkeer naar kwetsbare SAP-componenten. De daadwerkelijke exploitatie begon kort daarna, met een reeks downloads en scripts die de aanval voorbereidden. Toen het systeem uiteindelijk probeerde de Auto-Color malware binnen te halen, trad Darktrace’s Autonomous Response onmiddellijk in werking. 

De responsmodule beperkte het gedrag van het getroffen apparaat door een zogenoemd “pattern of life” af te dwingen: het systeem mocht uitsluitend bekende, normale activiteiten uitvoeren en geen enkele afwijkende verbinding opzetten. Dit voorkwam dat de malware succesvol contact kon leggen met zijn command-and-controlserver, een cruciale stap in de aanvalsketen. 

Gedurende zes uur probeerde Auto-Color alsnog verbinding te maken via versleutelde communicatie (TLS over poort 443), maar alle pogingen werden automatisch geblokkeerd. Omdat de malware afhankelijk is van die C2-verbinding om zijn volledige functionaliteit te activeren — zoals bestandsinjectie, proxyconfiguraties of zelfverwijdering — schakelde deze over naar ‘slaapmodus’. Het Darktrace Managed Detection and Response (MDR)-team verlengde de beperkingen met 24 uur, waardoor het beveiligingsteam van de klant tijd kreeg om de dreiging grondig te analyseren en te verhelpen. Dankzij deze combinatie van autonome verdediging en menselijke ondersteuning werd de aanval vroegtijdig ingedamd, nog vóórdat de malware zich volledig kon nestelen in het systeem. 

Lees de blog op de website van Darktrace voor een uitgebreide technische analyse.

Over Darktrace
Darktrace is wereldleider in AI voor cybersecurity en laat organisaties elke dag voorop lopen ten opzichte van het continu veranderende dreigingslandschap. Darktrace is opgericht in 2013 en biedt een cybersecurityplatform dat organisaties beschermt tegen onbekende dreigingen met behulp van zijn eigen AI die in realtime leert van de unieke patronen van elke klant. Het Darktrace ActiveAI Security Platform™ levert een proactieve benadering van cyberveerkracht om bedrijven te beveiligen in hun hele digitale omgeving – van netwerk tot cloud en e-mail. Het biedt preventief inzicht in de beveiligingspositie, realtime dreigingsdetectie en autonome respons. Baanbrekende innovaties van onze R&D-teams in Cambridge, VK, en Den Haag, Nederland, hebben geresulteerd in meer dan 200 ingediende pantentaanvragen. Het platform en de services van Darktrace worden ondersteund voor meer dan 2.400 werknemers over de hele wereld die bijna 10.000 klanten in alle grote sectoren beschermen. Ga voor meer informatie naar http://www.darktrace.com.