Negli ultimi mesi, la sicurezza informatica degli enti governativi statunitensi è stata minacciata da una campagna mirata condotta da un gruppo di hacker cinesi identificato come UAT-6382. Questi attori malevoli hanno sfruttato una vulnerabilità critica, ora corretta, nel software Trimble Cityworks per ottenere accesso remoto e prolungato ai sistemi presi di mira.
Attacchi mirati e strumenti impiegati
Gli attacchi, monitorati da Cisco Talos, sono iniziati a gennaio 2025 e hanno interessato in particolare le reti di enti locali negli Stati Uniti. Gli hacker hanno sfruttato la falla per condurre una ricognizione iniziale, installare web shell come AntSword, Chopper e Behinder, e distribuire malware personalizzati per mantenere l’accesso nel tempo. Tra gli strumenti impiegati, spiccano Cobalt Strike, noto framework per il controllo remoto post-exploit, e VShell, un tool di accesso remoto sviluppato in Go.
Il ruolo di TetraLoader e MaLoader nell’infiltrazione
Una componente rilevante dell’attacco è rappresentata dal loader Rust-based denominato TetraLoader, costruito sfruttando MaLoader, un framework open source scritto in cinese semplificato e apparso su GitHub a fine 2024. Questo loader funge da ponte per il caricamento di ulteriori minacce, facilitando la permanenza degli hacker all’interno dei sistemi compromessi.
Obiettivi e tecniche di esfiltrazione
Gli aggressori hanno mostrato particolare interesse per i sistemi dedicati alla gestione delle utility, effettuando una scansione approfondita dei file e delle directory dei server compromessi. I dati di interesse venivano raccolti e spostati in cartelle dove erano già presenti le web shell, allo scopo di agevolare l’esfiltrazione delle informazioni. L’uso di PowerShell ha permesso agli attaccanti di scaricare e installare molteplici backdoor, ampliando così il controllo sulle reti infette.
Risposta e mitigazione
La vulnerabilità di Trimble Cityworks è stata prontamente inserita nel catalogo delle Known Exploited Vulnerabilities (KEV) dalla CISA nel febbraio 2025, a testimonianza della sua pericolosità e della rapidità con cui è stata sfruttata in attacchi reali. Trimble ha rilasciato aggiornamenti correttivi e indicatori di compromissione (IoC) per aiutare le organizzazioni a difendersi e a rilevare eventuali intrusioni.
Questo attacco sottolinea l’importanza di mantenere sempre aggiornati i sistemi critici e di monitorare costantemente la propria infrastruttura per individuare comportamenti sospetti e nuove minacce legate a vulnerabilità zero-day.