Chińskojęzyczna grupa hakerska UAT-6382 od stycznia 2025 r. prowadzi skoordynowaną operację infiltracji sieci amerykańskich organów rządowych, wykorzystując nieznaną wcześniej lukę typu zero-day w systemie Trimble Cityworks (CVE-2025-0994).
Cityworks to popularna, oparta na GIS platforma, z której korzystają przede wszystkim samorządy, przedsiębiorstwa użyteczności publicznej oraz działy robót publicznych do zarządzania infrastrukturą i zleceniami prac. Błąd deserializacji w serwerach Microsoft IIS umożliwiał atakującym, o ile posiadali uprawnienia uwierzytelnione, zdalne wykonywanie dowolnego kodu na systemach ofiar.
Przejęcie kontroli zaczynało się od wprowadzenia do sieci ofiar autorskiego narzędzia TetraLoader — ładowarki napisanej w języku Rust, przygotowanej przy pomocy chińskiego generatora złośliwego oprogramowania „MaLoader”. TetraLoader instalowała w kolejnych etapach beacon Cobalt Strike, backdoora VSHell oraz zestaw web-shelli, w tym AntSword i Chopper.
Wszystkie artefakty zawierały komunikaty w uproszczonym języku chińskim, co potwierdzało pochodzenie grupy. Po uzyskaniu przyczółka UAT-6382 konsekwentnie przenosiła się w stronę systemów odpowiedzialnych za zarządzanie infrastrukturą krytyczną, takich jak wodociągi, energetyka czy transport — a więc obszary o wysokim znaczeniu dla bezpieczeństwa publicznego.
Cisco Talos wykryło zagrożenie
Cisco Talos, które jako pierwsze wykryło aktywność ataku, opisuje, że w momencie ujawnienia kampanii napastnicy utrzymywali już długotrwały, ukryty dostęp do wielu sieci samorządowych na terenie Stanów Zjednoczonych.
Choć użyty wektor obejmował przede wszystkim samorządowe środowiska Cityworks, charakter przejętych systemów — zwłaszcza tych związanych z wodą i energią — oznacza realne zagrożenie dla mieszkańców i wrażliwej infrastruktury, a tym samym dla całego aparatu państwowego.
Trimble udostępnił łatę likwidującą lukę w pierwszych dniach lutego 2025 roku, przyznając jednocześnie, że podatność była już aktywnie eksploatowana. Zaledwie kilka dni później amerykańska Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) umieściła CVE-2025-0994 w katalogu aktywnie wykorzystywanych podatności i zobowiązała wszystkie federalne instytucje do zainstalowania aktualizacji w ciągu trzech tygodni, jak nakazuje dyrektywa BOD 22-01.
Kolejne ostrzeżenie CISA z 11 lutego zalecało natychmiastową aktualizację również podmiotom z sektorów krytycznych: wody i kanalizacji, energetyki, transportu, administracji oraz łączności.
Choć na razie operacja UAT-6382 dotyczy głównie organów lokalnych, skala infiltracji pokazuje, że droga do systemów federalnych — a więc do samego serca rządu USA — jest krótsza, niż mogłoby się wydawać. Trudno bowiem mówić o szczelnej ochronie państwa, gdy cyberprzestępcy mogą przez miesiące niezauważenie przebywać w sieciach odpowiedzialnych za kluczowe usługi publiczne.
Incydent ten po raz kolejny podkreśla, jak groźne mogą być podatności w wyspecjalizowanym oprogramowaniu branżowym oraz jak kluczowe jest szybkie łatanie nawet pozornie niszowych systemów.