گروه تهدید چینی‌زبان UAT-6382 از آسیب‌پذیری CVE-2025-0944 در نرم‌افزار Trimble Cityworks برای نصب Cobalt Strike و VShell استفاده کرده است. این آسیب‌پذیری با امتیاز 8.6 امکان اجرای کد از راه دور را فراهم می‌کند و توسط CISA به فهرست آسیب‌پذیری‌های شناخته شده اضافه شده است.

مهاجمان پس از نفوذ موفق، شناسایی اولیه انجام داده و وب شل‌های مختلفی مانند AntSword و Behinder را مستقر کردند. آن‌ها همچنین از لودر مبتنی بر Rust به نام TetraLoader که با استفاده از فریم‌ورک MaLoader ساخته شده، برای حفظ دسترسی طولانی‌مدت و هدف قرار دادن سیستم‌های مدیریت شهری در ایالات متحده استفاده کردند.