Chinesische Hackergruppe greift US-Kommunalverwaltungen an : Gezielte Spionage gegen Cityworks-Systeme zeigt neue Qualität staatlich gestützter Angriffe
Ein chinesischsprachiger Angreifer namens UAT-6382 hat eine kritische Schwachstelle in der US-Software Trimble Cityworks ausgenutzt, um gezielt kommunale Netzwerke in den Vereinigten Staaten zu infiltrieren. Die inzwischen geschlossene Lücke zeigt, wie präzise und technisch versiert staatlich unterstützte Hacker bei Angriffen auf kritische Infrastrukturen vorgehen.
Die ausgenutzte Sicherheitslücke – CVE-2025-0944, mit einem CVSS-Score von 8,6 – betrifft eine zentrale Verwaltungssoftware für kommunale Infrastruktur. Cityworks wird von Städten und Gemeinden unter anderem für das Management von Versorgungsnetzen, Straßen und Daten aus Geoinformationssystem (GIS) verwendet. Die Lücke ermöglichte die Ausführung beliebigen Codes aus der Ferne – eine Einladung für fortgeschrittene Bedrohungsakteure wie UAT-6382.
Cisco Talos, das Sicherheitsteam von Cisco, dokumentierte die Attacke erstmals Anfang Januar 2025. Die Angriffe richteten sich fokussiert gegen kommunale Einrichtungen in den Vereinigten Staaten – mit dem klaren Ziel, Zugriff auf Systeme im Bereich der Versorgungsinfrastruktur zu gewinnen.
Vom ersten Zugriff zur dauerhaften Präsenz
Nach erfolgreicher Kompromittierung führten die Angreifer eine umfassende Aufklärung des Systems durch, installierten mehrere Web Shells und schleusten maßgeschneiderte Malware ein. Dabei kamen bekannte Werkzeuge chinesischer Herkunft zum Einsatz, darunter AntSword, Chopper und Behinder – Tools, die in der Szene weit verbreitet sind.
Über PowerShell-Kommandos wurden mehrere Backdoors installiert, darunter das Go-basierte Remote-Access-Tool VShell sowie ein Rust-basierter Loader namens TetraLoader, der auf dem öffentlich zugänglichen Schadcode-Baukasten MaLoader basiert. Auch dieser wurde ursprünglich in vereinfachtem Chinesischauf GitHub veröffentlicht.
Die kompromittierten Systeme wurden methodisch untersucht: Verzeichnisse und Dateien wurden identifiziert und in bereits infiltrierte Ordner verschoben – ein klares Zeichen für geplante Exfiltration von Daten.
Strategische Spionage statt massenhafter Angriffe
Im Gegensatz zu vielen anderen Cyberkampagnen handelt es sich hier nicht um ein breit gestreutes Ransomware-Szenario, sondern um eine gezielte, strategische Infiltration. Die Hackergruppe zeigte laut Cisco Talos ein spezifisches Interesse an Systemen der kommunalen Versorgungssteuerung – ein sensibler Bereich, der in den letzten Jahren zunehmend ins Fadenkreuz staatlich gelenkter Angriffe gerückt ist.
Dass Angriffe wie diese nicht auf Zufall beruhen, zeigt die Professionalität des Vorgehens: Der Einstieg erfolgte über eine bekannte, aber nur kurzzeitig offene Schwachstelle, gefolgt von zielgerichteter Spionage, dem Aufbau einer langanhaltenden Zugriffsinfrastruktur und dem Einsatz maßgeschneiderter Werkzeuge.
Lektion für kritische Infrastrukturen: Schwachstellenmanagement allein reicht nicht
Der Angriff auf Cityworks ist ein Weckruf: Auch in scheinbar spezialisierten Nischenanwendungen steckt enormes Risiko, insbesondere wenn diese als zentraler Knotenpunkt für sensible kommunale Prozesse dienen. Die schnelle Reaktion von Trimble und die Aufnahme der Schwachstelle in den KEV-Katalog der US-Behörde CISA waren wichtig – aber präventive Verteidigung braucht mehr: Threat Intelligence, Angriffssimulationen und die gezielte Überwachung auf ungewöhnliche Aktivitäten im Netz.
Cisco warnt, dass UAT-6382 weiter aktiv ist und künftig ähnliche Methoden auf andere Zielsysteme anwenden könnte. Behörden und Unternehmen im Bereich kritischer Infrastruktur sollten ihre Detektions- und Reaktionsstrategien auf die neuen Bedrohungslagen ausrichten – nicht zuletzt, weil politische Interessen dabei eine zunehmend zentrale Rolle spielen. Denn längst ist Cybersecurity keine Frage einzelner Systeme mehr, sondern ein geopolitisches Spielfeld.