Experții de la Cisco Talos au observat atacatori chinezi exploatând CVE-2025-0994, o vulnerabilitate ce permite execuția de cod la distanță în platforma Cityworks de management al echipamentelor din rețea.
Hackerii au început exploatarea din ianuarie 2025 și scopul a fost livrarea unei varietăți de malware, inclusiv customizat, pentru menținerea accesului pe termen îndelungat.
Activitatea post-compromitere a implicat implementarea rapidă de shell-uri web precum AntSword, chinatso/Chopper, și Behinder pe servere web Microsoft Internet Information Services.
O bună parte din malware-ul folosit în atacuri conțin mesaje în chineză sau au fost create cu utilitare scrise în aceeași limbă (e.g. MaLoader folosit pentru crearea TetraLoader folosit în atacuri).
Pentru menținerea accesului pe termen lung, hackerii au folosit software-urile legitime Cobalt Strike și VSHell (server SSH).
Cumulat cu tipul utilitarelor și cu tacticile, tehnicile, și procedurile analizate, experții de la Cisco Talos concluzionează că hackerii sunt vorbitori de limbă chineză, folosind identificatorul UAT-6382 pentru urmărirea activității grupului.
Agenția pentru Securitatea Cibernetică și a Infrastructurii (CISA) din Statele Unite și Trimble, compania din spatele Cityworks au emis avize [aici și aici] referitoare la această vulnerabilitate.
Indicatorii de compromitere (IOC) descoperite de Cisco Talos legate incidentele în care se exploatează vulnerabilitatea CVE-2025-0994 se suprapun cu cele listate de Trimble într-o avertizare de la începutul lui februarie.
