Aktor ancaman berbahasa Cina dilacak sebagai UAT-6382 telah dikaitkan dengan eksploitasi kerentanan jarak jauh-code-code yang sekarang ditonton di Trimble Cityworks untuk memberikan Cobalt Strike dan Vshell.
“UAT-6382 berhasil mengeksploitasi CVE-2025-0944, melakukan pengintaian, dan dengan cepat menggunakan berbagai cangkang web dan malware yang dibuat khusus untuk mempertahankan akses jangka panjang,” kata peneliti Cisco Talos Asheer Malhotra dan Brandon White dalam analisis yang diterbitkan hari ini. “Setelah mendapatkan akses, UAT-6382 menyatakan minat yang jelas dalam berputar pada sistem yang terkait dengan manajemen utilitas.”
Perusahaan keamanan jaringan mengatakan mereka mengamati serangan yang menargetkan jaringan perusahaan dari badan pemerintahan lokal di Amerika Serikat mulai Januari 2025.
CVE-2025-0944 (skor CVSS: 8.6) mengacu pada deserialisasi kerentanan data yang tidak dipercaya yang mempengaruhi perangkat lunak manajemen aset yang berpusat pada GIS yang dapat memungkinkan eksekusi kode jarak jauh. Kerentanan, sejak ditambal, ditambahkan ke katalog kerentanan yang diketahui (KEV) oleh Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada Februari 2025.
Menurut indikator kompromi (IOC) yang dirilis oleh Trimble, kerentanan telah dieksploitasi untuk memberikan loader berbasis karat yang meluncurkan Cobalt Strike dan alat akses jarak jauh berbasis GO bernama Vshell dalam upaya untuk mempertahankan akses jangka panjang ke sistem yang terinfeksi.
Cisco Talos, yang melacak loader berbasis karat sebagai tetraloader, mengatakan telah dibangun menggunakan Maloader, kerangka kerja pembangunan malware yang tersedia untuk umum yang ditulis dalam bahasa Cina yang disederhanakan.
Eksploitasi yang berhasil dari aplikasi Cityworks yang rentan menghasilkan aktor ancaman yang melakukan pengintaian awal untuk mengidentifikasi dan sidik jari server, dan kemudian menjatuhkan cangkang web seperti Antsword, Chinatso/Chopper, dan di belakang yang banyak digunakan oleh grup peretasan Tiongkok.
“UAT-6382 menyebutkan beberapa direktori pada server yang menarik untuk mengidentifikasi file-file yang menarik bagi mereka dan kemudian menggelar mereka di direktori di mana mereka telah mengerahkan cangkang web untuk exfiltration yang mudah,” kata para peneliti. “UAT-6382 diunduh dan digunakan beberapa backdoors pada sistem yang dikompromikan melalui PowerShell.”
