Chinese hackers develop LONGLEASH malware to expand ORB network

1 minute de lecture

Mis à jour :

Expansion du réseau de proxys ORB par le groupe UAT-7810

Le groupe de cyberattaquants chinois UAT-7810 développe activement son infrastructure de relais opérationnels (ORB) en compromettant des équipements réseau exposés sur Internet, principalement des routeurs Ruckus. Ce réseau permet aux attaquants de masquer l’origine réelle de leurs activités malveillantes en faisant transiter leur trafic via des appareils locaux légitimes.

Points clés :

  • Diversification des outils : Le groupe a déployé une nouvelle gamme de malwares, dont le backdoor LONGLEASH (évolution de SHORTLEASH), le backdoor Linux DOGLEASH, l’outil d’administration JARLEASH et l’utilitaire de test LEASHTEST.
  • Capacités avancées : LONGLEASH permet désormais le proxying multi-protocoles (HTTP, DNS, SOCKS, TCP, ICMP, UDP), la gestion de reverse shells, le support TLS/PKI et une fonction d’auto-suppression pour échapper à la détection.
  • Rôle d’intermédiaire : Les équipements infectés servent de serveurs de commande et de contrôle (C2) intermédiaires pour transmettre des données entre différents nœuds du réseau.

Vulnérabilités exploitées : L’accès initial est obtenu principalement via l’exploitation de failles connues (n-day) :

  • Routeurs Ruckus : CVE-2020-22653, CVE-2020-22658, CVE-2023-25717.
  • Routeurs ASUS (AiCloud) : CVE-2025-2492.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs de sécurité pour les équipements réseau, en priorité les routeurs Ruckus et ASUS mentionnés.
  • Veille sur les IoCs : Surveiller les indicateurs de compromission publiés par Cisco Talos pour détecter toute activité suspecte sur les terminaux IoT et les périphériques de réseau.
  • Durcissement du réseau : Restreindre l’accès à l’interface d’administration des routeurs depuis Internet et désactiver les fonctionnalités inutilisées ou obsolètes (comme AiCloud si non requis).

Source