Negli ultimi mesi, la sicurezza informatica degli enti governativi statunitensi è stata minacciata da una campagna mirata condotta da un gruppo di hacker cinesi identificato come UAT-6382. Questi attori malevoli hanno sfruttato una vulnerabilità critica, ora corretta, nel software Trimble Cityworks per ottenere accesso remoto e prolungato ai sistemi presi di mira. La vulnerabilità in questione, catalogata come CVE-2025-0944 con un punteggio CVSS di 8.6, riguarda la deserializzazione di dati non affidabili nel noto software per la gestione di asset GIS, consentendo l’esecuzione di codice da remoto.
Attacchi mirati e strumenti impiegati
Gli attacchi, monitorati da Cisco Talos, sono iniziati a gennaio 2025 e hanno interessato in particolare le reti di enti locali negli Stati Uniti. Gli hacker hanno sfruttato la falla per condurre una ricognizione iniziale, installare web shell come AntSword, Chopper e Behinder, e distribuire malware personalizzati per mantenere l’accesso nel tempo. Tra gli strumenti impiegati, spiccano Cobalt Strike, noto framework per il controllo remoto post-exploit, e VShell, un tool di accesso remoto sviluppato in Go.
Il ruolo di TetraLoader e MaLoader nell’infiltrazione
Una componente rilevante dell’attacco è rappresentata dal loader Rust-based denominato TetraLoader, costruito sfruttando MaLoader, un framework open source scritto in cinese semplificato e apparso su GitHub a fine 2024. Questo loader funge da ponte per il caricamento di ulteriori minacce, facilitando la permanenza degli hacker all’interno dei sistemi compromessi.
Obiettivi e tecniche di esfiltrazione
Gli aggressori hanno mostrato particolare interesse per i sistemi dedicati alla gestione delle utility, effettuando una scansione approfondita dei file e delle directory dei server compromessi. I dati di interesse venivano raccolti e spostati in cartelle dove erano già presenti le web shell, allo scopo di agevolare l’esfiltrazione delle informazioni. L’uso di PowerShell ha permesso agli attaccanti di scaricare e installare molteplici backdoor, ampliando così il controllo sulle reti infette.
Risposta e mitigazione
La vulnerabilità di Trimble Cityworks è stata prontamente inserita nel catalogo delle Known Exploited Vulnerabilities (KEV) dalla CISA nel febbraio 2025, a testimonianza della sua pericolosità e della rapidità con cui è stata sfruttata in attacchi reali. Trimble ha rilasciato aggiornamenti correttivi e indicatori di compromissione (IoC) per aiutare le organizzazioni a difendersi e a rilevare eventuali intrusioni.
Questo attacco sottolinea l’importanza di mantenere sempre aggiornati i sistemi critici e di monitorare costantemente la propria infrastruttura per individuare comportamenti sospetti e nuove minacce legate a vulnerabilità zero-day.