Investigadores de Cisco Talos han descubierto una amenaza significativa a la infraestructura crítica estadounidense. El grupo de hackers chino UAT-6382 ha explotado exitosamente una vulnerabilidad crítica en el sistema Trimble Cityworks, una plataforma esencial para la gestión de infraestructura municipal. Esta brecha de seguridad representa un riesgo considerable para los servicios públicos locales.
Análisis Técnico del Vector de Ataque
Los atacantes implementaron una sofisticada cadena de infección que comienza con un loader malicioso desarrollado en Rust. La vulnerabilidad identificada como CVE-2025-0994 permitió a los atacantes desplegar beacons de Cobalt Strike y el backdoor VSHell, estableciendo así una presencia persistente en los sistemas comprometidos. Esta combinación de herramientas demuestra un nivel avanzado de preparación y recursos técnicos.
Impacto y Alcance de la Amenaza
El ataque se centró principalmente en sistemas de gestión de servicios públicos municipales. Los investigadores identificaron múltiples webshells y herramientas maliciosas con marcadores lingüísticos chinos, incluyendo AntSword y chinatso/Chopper. Particularmente notable fue el uso del TetraLoader, un cargador personalizado creado con el builder MaLoader, evidenciando la sofisticación técnica de los atacantes.
Medidas de Mitigación y Respuesta
Trimble respondió rápidamente liberando parches de seguridad a principios de febrero de 2025. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) ha catalogado la vulnerabilidad CVE-2025-0994 como activamente explotada, estableciendo un plazo de tres semanas para que las agencias federales actualicen sus sistemas.
La gravedad de esta amenaza ha llevado a CISA a emitir un boletín de emergencia, instando a las organizaciones que gestionan infraestructuras críticas en sectores de agua, energía y transporte a actualizar inmediatamente sus sistemas Trimble Cityworks. Los expertos en ciberseguridad recomiendan implementar una estrategia de defensa en profundidad, incluyendo segmentación de red, monitoreo continuo y actualizaciones regulares de software para prevenir compromisos similares. La situación actual subraya la importancia crítica de mantener una postura de seguridad proactiva en la protección de infraestructuras críticas.
