Un actor de amenaza de acento china rastreó como UAT-6382 se ha vinculado a la explotación de una vulnerabilidad de ejecución de código remoto ahora parpadido en Trimble Cityworks para entregar Cobalt Strike y Vshell.
«UAT-6382 explotó con éxito CVE-2025-0944, realizó un agradecimiento y desplegó rápidamente una variedad de proyectiles web y malware hecho a medida para surtir el golpe a generoso plazo», dijeron hoy los investigadores de Cisco Talos Asheer Malhotra y Brandon White en un estudio. «Al obtener golpe, UAT-6382 expresó un claro interés en pivotar a los sistemas relacionados con la dirección de servicios públicos».
La compañía de seguridad de la red dijo que observó los ataques dirigidos a las redes empresariales de los órganos de gobierno locales en los Estados Unidos a partir de enero de 2025.
CVE-2025-0944 (puntaje CVSS: 8.6) se refiere a la deserialización de la vulnerabilidad de datos no confiable que afecta el software de dirección de activos centrado en el SIG que podría habilitar la ejecución del código remoto. La vulnerabilidad, desde Patched, fue agregada al catálogo de vulnerabilidades explotadas (KEV) conocidas por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. En febrero de 2025.
Según los indicadores de compromiso (COI) lanzados por Trimble, la vulnerabilidad se ha explotado para entregar un cargador a colchoneta de óxido que gancho Cobalt Strike y una utensilio de golpe remoto basada en GO llamamiento Vshell en un intento de surtir el golpe a generoso plazo a los sistemas infectados.
Cisco Talos, que está rastreando el cargador a colchoneta de óxido como Tetraloader, dijo que está construido con Maloader, un entorno de construcción de malware apto públicamente escrito en chino simplificado.
La explotación exitosa de la aplicación Pasivo Cityworks da como resultado que los actores de amenaza que realicen un agradecimiento preliminar para identificar y huelan con el servidor, y luego dejan caer conchas web como Antsword, Chinatso/Chopper, y detrás de lo que los grupos de piratería chinos lo utilizan ampliamente.
«UAT-6382 enumeró múltiples directorios sobre servidores de interés para identificarles archivos de interés y luego los organizó en directorios donde habían implementado proyectiles web para una factible exfiltración», dijeron los investigadores. «UAT-6382 descargó e implementó múltiples puertas traseras en sistemas comprometidos a través de PowerShell».
