Un actor de amenaza de habla china rastre\u00f3 como UAT-6382<\/strong> se ha vinculado a la explotaci\u00f3n de una vulnerabilidad de ejecuci\u00f3n de c\u00f3digo remoto ahora parpadido en Trimble Cityworks para entregar Cobalt Strike y Vshell.<\/p>\n “UAT-6382 explot\u00f3 con \u00e9xito CVE-2025-0944, realiz\u00f3 un reconocimiento y despleg\u00f3 r\u00e1pidamente una variedad de proyectiles web y malware a medida para mantener el acceso a largo plazo”, los investigadores de Cisco Talos Asheer Malhotra y Brandon White White dicho<\/a> en un an\u00e1lisis publicado hoy. “Al obtener acceso, UAT-6382 expres\u00f3 un claro inter\u00e9s en pivotar a los sistemas relacionados con la gesti\u00f3n de servicios p\u00fablicos”.<\/p>\n La compa\u00f1\u00eda de seguridad de la red dijo que observ\u00f3 los ataques dirigidos a las redes empresariales de los \u00f3rganos de gobierno locales en los Estados Unidos a partir de enero de 2025.<\/p>\n CVE-2025-0944 (puntaje CVSS: 8.6) se refiere a la deserializaci\u00f3n de la vulnerabilidad de datos no confiable que afecta el software de gesti\u00f3n de activos centrado en el SIG que podr\u00eda habilitar la ejecuci\u00f3n del c\u00f3digo remoto. La vulnerabilidad, desde Patched, fue agregada al cat\u00e1logo de vulnerabilidades explotadas (KEV) conocidas por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. En febrero de 2025.<\/p>\n Seg\u00fan los indicadores de compromiso (COI) lanzados por Trimble, la vulnerabilidad se ha explotado para entregar un cargador a base de \u00f3xido que lanza Cobalt Strike y una herramienta de acceso remoto basada en GO llamada Vshell en un intento de mantener el acceso a largo plazo a los sistemas infectados.<\/p>\n Cisco Talos, que est\u00e1 rastreando el cargador a base de \u00f3xido como Tetraloader, dijo que est\u00e1 construido con Maloader, un marco de construcci\u00f3n de malware disponible p\u00fablicamente escrito en chino simplificado.<\/p>\n La explotaci\u00f3n exitosa de la aplicaci\u00f3n Vulnerable CityWorks da como resultado que los actores de amenaza que realicen un reconocimiento preliminar para identificar y huelan con el servidor, y luego dejan caer conchas web como Antsword, Chinatso\/Helic\u00f3ptero<\/a>y detr\u00e1s de los grupos de pirater\u00eda chinos ponen ampliamente utilizados.<\/p>\n “UAT-6382 enumer\u00f3 m\u00faltiples directorios sobre servidores de inter\u00e9s para identificarles archivos de inter\u00e9s y luego los organiz\u00f3 en directorios donde hab\u00edan implementado proyectiles web para una f\u00e1cil exfiltraci\u00f3n”, dijeron los investigadores. “UAT-6382 descarg\u00f3 e implement\u00f3 m\u00faltiples puertas traseras en sistemas comprometidos a trav\u00e9s de PowerShell”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-piratas-informaticos-chinos-explotan-la-falla-de-Trimble-Cityworks.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n