China-Linked UAT-7810 Expands ORB Network With New LONGLEASH Malware

1 minute de lecture

Mis à jour :

Expansion du réseau ORB et émergence du malware LONGLEASH par UAT-7810

Le groupe APT chinois UAT-7810 intensifie ses activités de compromission de périphériques réseau exposés sur Internet afin d’étendre son réseau de relais opérationnels (ORB) baptisé “LapDogs”. Cette infrastructure est utilisée comme tremplin par d’autres groupes cybercriminels, notamment UAT-5918, pour mener des attaques contre des cibles à haute valeur ajoutée.

Points clés :

  • Évolution des outils : Le groupe a fait évoluer son malware ShortLeash vers une nouvelle version nommée LONGLEASH, offrant des capacités de proxying avancées (HTTP, DNS, SOCKS, TCP, ICMP, UDP) et une fonction de relais C2 intermédiaire.
  • Arsenal diversifié : UAT-7810 déploie également de nouveaux outils tels que DOGLEASH (backdoor passif), LEASHTEST (outil de test pour systèmes MIPS) et JARLEASH (backdoor Java pour l’administration système).
  • Stratégie : Les attaquants exploitent des vulnérabilités connues dans des routeurs SOHO (Small Office/Home Office) pour établir un accès persistant.

Vulnérabilités exploitées : Le groupe cible activement des équipements non corrigés, notamment :

  • Ruckus Wireless Routers : CVE-2020-22653, CVE-2020-22658 et CVE-2023-25717.
  • ASUS AiCloud Routers : CVE-2025-2492.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs de sécurité fournis par les fabricants pour les routeurs et équipements réseau vulnérables cités.
  • Gestion des accès : Restreindre l’accès aux interfaces d’administration des périphériques réseau et éviter toute exposition inutile sur Internet.
  • Surveillance : Surveiller les comportements réseau inhabituels (trafic proxy suspect, connexions sortantes vers des C2 inconnus) et auditer la présence de fichiers binaires ou de scripts non autorisés (ELF, JAR) sur les systèmes Linux embarqués.

Source