Un actor de amenaza de habla china rastreó como UAT-6382 se ha vinculado a la explotación de una vulnerabilidad de ejecución de código remoto ahora parpadido en Trimble Cityworks para entregar Cobalt Strike y Vshell.
«UAT-6382 explotó con éxito CVE-2025-0944, realizó un reconocimiento y desplegó rápidamente una variedad de proyectiles web y malware hecho a medida para mantener el acceso a largo plazo», dijeron hoy los investigadores de Cisco Talos Asheer Malhotra y Brandon White en un análisis. «Al obtener acceso, UAT-6382 expresó un claro interés en pivotar a los sistemas relacionados con la gestión de servicios públicos».
La compañía de seguridad de la red dijo que observó los ataques dirigidos a las redes empresariales de los órganos de gobierno locales en los Estados Unidos a partir de enero de 2025.
CVE-2025-0944 (puntaje CVSS: 8.6) se refiere a la deserialización de la vulnerabilidad de datos no confiable que afecta el software de gestión de activos centrado en el SIG que podría habilitar la ejecución del código remoto. La vulnerabilidad, desde Patched, fue agregada al catálogo de vulnerabilidades explotadas (KEV) conocidas por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. En febrero de 2025.
Según los indicadores de compromiso (COI) lanzados por Trimble, la vulnerabilidad se ha explotado para entregar un cargador a base de óxido que lanza Cobalt Strike y una herramienta de acceso remoto basada en GO llamada Vshell en un intento de mantener el acceso a largo plazo a los sistemas infectados.
Cisco Talos, que está rastreando el cargador a base de óxido como Tetraloader, dijo que está construido con Maloader, un marco de construcción de malware disponible públicamente escrito en chino simplificado.
La explotación exitosa de la aplicación Vulnerable Cityworks da como resultado que los actores de amenaza que realicen un reconocimiento preliminar para identificar y huelan con el servidor, y luego dejan caer conchas web como Antsword, Chinatso/Chopper, y detrás de lo que los grupos de piratería chinos lo utilizan ampliamente.
«UAT-6382 enumeró múltiples directorios sobre servidores de interés para identificarles archivos de interés y luego los organizó en directorios donde habían implementado proyectiles web para una fácil exfiltración», dijeron los investigadores. «UAT-6382 descargó e implementó múltiples puertas traseras en sistemas comprometidos a través de PowerShell».