Un actor de amenaza de deje china rastreó como UAT-6382 se ha vinculado a la explotación de una vulnerabilidad de ejecución de código remoto ahora parpadido en Trimble Cityworks para entregar Cobalt Strike y Vshell.
“UAT-6382 explotó con éxito CVE-2025-0944, realizó un registro y desplegó rápidamente una variedad de proyectiles web y malware hecho a medida para suministrar el entrada a grande plazo”, dijeron hoy los investigadores de Cisco Talos Asheer Malhotra y Brandon White en un disección. “Al obtener entrada, UAT-6382 expresó un claro interés en pivotar a los sistemas relacionados con la diligencia de servicios públicos”.
La compañía de seguridad de la red dijo que observó los ataques dirigidos a las redes empresariales de los órganos de gobierno locales en los Estados Unidos a partir de enero de 2025.
CVE-2025-0944 (puntaje CVSS: 8.6) se refiere a la deserialización de la vulnerabilidad de datos no confiable que afecta el software de diligencia de activos centrado en el SIG que podría habilitar la ejecución del código remoto. La vulnerabilidad, desde Patched, fue agregada al catálogo de vulnerabilidades explotadas (KEV) conocidas por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. En febrero de 2025.
Según los indicadores de compromiso (COI) lanzados por Trimble, la vulnerabilidad se ha explotado para entregar un cargador a pulvínulo de óxido que garrocha Cobalt Strike y una útil de entrada remoto basada en GO indicación Vshell en un intento de suministrar el entrada a grande plazo a los sistemas infectados.
Cisco Talos, que está rastreando el cargador a pulvínulo de óxido como Tetraloader, dijo que está construido con Maloader, un entorno de construcción de malware adecuado públicamente escrito en chino simplificado.
La explotación exitosa de la aplicación Desvalido Cityworks da como resultado que los actores de amenaza que realicen un registro preliminar para identificar y huelan con el servidor, y luego dejan caer conchas web como Antsword, Chinatso/Chopper, y detrás de lo que los grupos de piratería chinos lo utilizan ampliamente.
“UAT-6382 enumeró múltiples directorios sobre servidores de interés para identificarles archivos de interés y luego los organizó en directorios donde habían implementado proyectiles web para una ligera exfiltración”, dijeron los investigadores. “UAT-6382 descargó e implementó múltiples puertas traseras en sistemas comprometidos a través de PowerShell”.
