ORB hálózatokat új kártevői
A Cisco Talos szerint a UAT-7810 nevű, nagy bizonyossággal Kínához köthető fenyegető szereplő tovább bővíti a LapDogs Operational Relay Box hálózatát. Az ORB-hálózatok kompromittált routerekből és egyéb internetre kapcsolt hálózati eszközökből épülnek fel, amelyeket a támadók köztes átjátszó infrastruktúraként használnak más kínai kiberkémkedési csoportok műveleteinek elfedésére. A Talos szerint a UAT-7810 elsődleges feladata nem közvetlen kémkedés, hanem egy olyan tartós infrastruktúra kiépítése és fenntartása, amelyet később más, kínai kötődésű APT-csoportok – például a UAT-5918 – használhatnak műveleteikhez. A csoport elsősorban javítatlan Ruckus vezeték nélküli útválasztókat kompromittál ismert sérülékenységek kihasználásával, de a Talos olyan infrastruktúrát is azonosított, amelyet ASUS AiCloud eszközök CVE-2025-2492 sérülékenységének kihasználására használtak, ami arra utal, hogy a csoport új eszköztípusokra is kiterjeszti ORB-hálózatát.
A kutatás négy új malware-komponenst ismertet. A LONGLEASH a korábban dokumentált SHORTLEASH továbbfejlesztett változata, amely már nemcsak C2-kommunikációra és alagutak kezelésére képes, hanem jelentősen kibővített funkcionalitással rendelkezik. A DOGLEASH egy C nyelven írt Linux backdoor, amely tetszőleges shellcode futtatását teszi lehetővé a kompromittált eszközökön. A JARLEASH egy Java-alapú backdoor, amelyet a támadók adminisztrációs célokra használnak, többek között fájlkezelésre, FTP, SFTP és Netcat kapcsolatok kezelésére. A negyedik komponens, a LEASHTEST, egy egyszerű MIPS ELF tesztprogram, amellyel a kompromittált beágyazott eszközök működését ellenőrzik a teljes malware telepítése előtt. A Talos négy új letöltőszervert és részletes IOC-kat, valamint YARA-szabályokat is közzétett a fenyegetés felderítésének támogatására.