(https://i.imgur.com/Ad0gbwX.jpeg)
Un grupo de amenazas persistentes avanzadas de habla china, identificado como UAT-6382, ha sido vinculado a la explotación activa de la vulnerabilidad CVE-2025-0944 en el software Trimble Cityworks, con el objetivo de comprometer redes gubernamentales en Estados Unidos. Esta campaña maliciosa permitió la distribución de Cobalt Strike y VShell, dos herramientas ampliamente utilizadas para el control remoto y la persistencia en entornos comprometidos.
Explotación de la vulnerabilidad CVE-2025-0944La vulnerabilidad CVE-2025-0944, con una puntuación CVSS de 8.6, corresponde a un fallo de deserialización de datos no confiables en Trimble Cityworks, una plataforma de gestión de activos basada en GIS utilizada por múltiples organismos públicos. Esta falla permitía la ejecución remota de código (RCE) en sistemas vulnerables.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) añadió CVE-2025-0944 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en febrero de 2025, tras confirmar su uso activo en campañas dirigidas.
Técnicas del grupo UAT-6382Según un análisis técnico publicado por los investigadores de Cisco Talos, Asheer Malhotra y Brandon White, los ataques comenzaron a partir de enero de 2025 y se enfocaron principalmente en redes empresariales de agencias gubernamentales locales dentro de Estados Unidos.
Citar"UAT-6382 explotó con éxito CVE-2025-0944, realizó tareas de reconocimiento inicial y desplegó una serie de shells web y malware personalizado para mantener acceso persistente", explicaron los expertos.
Una vez obtenido el acceso inicial, UAT-6382 mostró especial interés en sistemas relacionados con la gestión de servicios públicos, apuntando directamente a infraestructuras críticas.
Herramientas utilizadas en la intrusiónLa explotación de Trimble Cityworks permitió a UAT-6382 desplegar un cargador de malware escrito en Rust, identificado por Cisco Talos como TetraLoader. Esta herramienta está basada en MaLoader, un framework de construcción de malware disponible públicamente y escrito en chino simplificado, lo que refuerza el vínculo del grupo con actores de origen chino.
TetraLoader fue utilizado para cargar y ejecutar:
- Cobalt Strike, una conocida herramienta de post-explotación usada en pruebas de penetración y por actores maliciosos.
- VShell, una herramienta de acceso remoto (RAT) desarrollada en Go, utilizada para mantener el acceso a largo plazo a los sistemas infectados.
Además, los atacantes desplegaron una variedad de web shells populares en el ecosistema de cibercrimen chino, entre ellos:
- AntSword
- chinatso/Chopper
- Behinder
Estas herramientas facilitaron la ejecución remota de comandos, el movimiento lateral y la exfiltración de datos sensibles.
Reconocimiento y persistenciaDurante la campaña, los operadores de UAT-6382 realizaron una enumeración exhaustiva de directorios en los servidores comprometidos para identificar archivos de interés. Luego, trasladaron estos archivos a directorios donde se encontraban los web shells, permitiendo así una exfiltración discreta.
Citar"UAT-6382 descargó e implementó múltiples puertas traseras usando PowerShell, lo que les permitió mantener control total sobre los sistemas comprometidos", detallaron los investigadores de Cisco Talos.
Recomendaciones de seguridadAunque la vulnerabilidad ya ha sido parcheada por Trimble, es crucial que las organizaciones tomen medidas inmediatas para reducir el riesgo de compromisos similares:
- Aplicar todas las actualizaciones de seguridad disponibles para Trimble Cityworks.
- Realizar una auditoría de los sistemas potencialmente expuestos a través de CVE-2025-0944.
- Monitorizar indicadores de compromiso (IoCs) asociados con TetraLoader, Cobalt Strike, VShell y los shells web mencionados.
- Implementar reglas de detección para PowerShell anómalo y procesos ejecutados desde ubicaciones no estándar.
En fin, el ataque dirigido por UAT-6382 contra sistemas que utilizan Trimble Cityworks representa una grave amenaza para las infraestructuras gubernamentales locales, aprovechando una vulnerabilidad crítica para desplegar herramientas avanzadas de ciberespionaje. Esta campaña refuerza la necesidad urgente de mantener una gestión de vulnerabilidades proactiva, así como una vigilancia constante frente a amenazas persistentes avanzadas (APT) de origen extranjero.
Fuente: https://thehackernews.com/