LapDogs
A LapDogs egy új, kifinomult Operational Relay Box (ORB) hálózat, amelyet a SecurityScorecard STRIKE azonosított. Ez nem csupán egy egyszerű botnet, hanem kémtevékenységre optimalizált infrastruktúra, Linux-alapú SOHO eszközökön keresztül, céltudatosan terjeszkedik. Az ORB célja nem hangos támadás (pl. DDoS), hanem rejtett adatlopás, belső hálózati használat és végpontokon túlmutató behatolás.
A hálózat mögött álló rosszindulatú szoftvert ShortLeash névre keresztelték. Ez egyedi, önaláírt TLS tanúsítványokat generál minden fertőzött csomópontra, amelyek metaadata LAPD (Los Angeles Police Department) megjelölést visel, ezzel is álcázva tevékenységét. Ez azonosítottan több mint 1 000 élő fertőzött node‑ot takar világszerte, elsősorban az Egyesült Államokban és Délkelet‑Ázsiában (Japán, Dél‑Korea, Hong Kong, Tajvan).
A kampány 2023 szeptemberétől indult, és azóta folyamatosan bővül – de nem tömegesen, cégenként 60 eszköznél nem tart nagyobb aktivitás, ezzel is csökkentve a felfedezés esélyét. A működés földrajzilag fókuszált – egyes későbbi hullámokat adott régióhoz (pl. Japán, Tajvan) kötöttek – ez azt mutatja, hogy szervezett, taktikai intrúzióról van szó.
Az ORB hálózat egyik sajátossága, hogy mélyen beivódik a vállalati infrastruktúrába, a fertőzött eszközök átirányíthatják a forgalmat, netflow‑okat gyűjthetnek, új C2 szerverré konfigurálhatóak vagy adatokat továbbíthatnak – mindezt rejtett, álcázott módon. Az ORB‑hoz kapcsolódó PolarEdge hálózattal mutat hasonlóságot, de nem azonos, a LapDogs önálló, célzott infrastruktúra.
A kutatók mandarin kommentárokat is találtak a ShortLeash indító scriptjeiben, ami az ázsiai eredetetre utal. Egy Cisco Talos jelentés is összekapcsolta a UAT‑5918 nevű kínai hátterű APT csoporttal egy tajvani támadássorozatban – ez tovább erősíti az atribúciót.
A hagyományos IOC‑szenzitív védelem (IPS, sandbox, IP-/domain‑tiltások) hatástalan, a káros csomópontok nem zajosak, nincs feltűnő mintázat, és a TLS álcázás elfedi a tevékenységet. A JARM-fingerprint és a tanúsítvány metaadatok elemzése viszont lehetőséget ad a hálózat visszakövetésére.
