根據Hackread報導，駭客利用SAP NetWeaver應用程式伺服器的嚴重漏洞（CVE-2025-31324，CVSS評分9.1），在一家美國化學公司的系統中植入名為Auto-Color的後門惡意軟體。此漏洞允許未經身份驗證的攻擊者執行遠端程式碼，進而危害Linux伺服器並部署遠端存取木馬（RAT）。該惡意軟體能收集系統資訊、執行命令並與C2伺服器通信，顯示高度針對性攻擊特徵。

這項重要研究在週二發布之前與 Hackread.com 分享，根據該研究，2025 年 4 月，Darktrace 安全營運中心 (SOC) 發現針對一家美國化學品公司網路的多階段 Auto-Color 攻擊。Darktrace的分析指出，攻擊始於未修補的SAP NetWeaver系統，強調及時修補和採用零信任架構的重要性。企業應立即更新系統、檢查異常活動並強化安全措施，以防範類似威脅。

Auto-Color 後門首次出現於 2024 年 11 月，此前曾被發現針對美國和亞洲的系統。它是一種遠端存取木馬 (RAT)，因其能夠/var/log/cross/auto-color在執行後將自身重命名為「 」而得名。它主要針對 Linux 系統，常見於美國和亞洲的大學和政府機構。

Qualys 威脅研究部門安全研究經理Mayuresh Dani表示，由於 CVE-2025-31324 儘管已被披露，但仍被積極利用，因此各組織應立即採取行動。「立即為 SAP NetWeaver 系統打上針對 CVE-2025-31324 的補丁，但如果由於某種原因，他們無法安裝補丁，則應立即停止在互聯網上公開這些 SAP NetWeaver 安裝，隔離它們並阻止/developmentserver/metadatauploader端點，同時部署一個零信任架構，該架構假設存在漏洞並在傳輸之前驗證每個網路交易。」Mayuresh 強調。