
Ator com nexo chinês refinava implantas sob medida para comprometer dispositivos de rede voltados à internet e sustentar infraestrutura de retransmissão usada por atores secundários.
| Componente | Rede ORB LapDogs mantida por UAT-7810, com famílias ShortLeash/LONGLEASH, DOGLEASH, JARLEASH e LEASHTEST em dispositivos de rede Linux/MIPS comprometidos |
| Vetor | Exploração de vulnerabilidades conhecidas em roteadores Ruckus e ASUS AiCloud expostos à internet, seguida de implantação de backdoors e componentes de proxy/C2 intermediário |
| Impacto | Expansão de caixas de retransmissão operacional (ORB) para retransmitir comandos e dados; infraestrutura potencialmente aproveitada por atores secundários, incluindo UAT-5918 em campanhas contra entidades de infraestrutura crítica em Taiwan |
| Prioridade | Inventariar e corrigir roteadores Ruckus e ASUS AiCloud vulneráveis, monitorar sinais de MARCAs LEASH em endpoints embarcados Linux/MIPS e segmentar gestão remota desses ativos |
| Artefatos | LONGLEASH (evolução de ShortLeash), DOGLEASH (backdoor passivo), JARLEASH (backdoor Java/JAR), LEASHTEST (ELF de teste em MIPS) e componente executor de proxy multi-protocolo |
| IoCs | Pelo menos quatro servidores novos hospedando variações de DOGLEASH; JARLEASH observado em ao menos um de três servidores para administração; indicadores de domínio/hash específicos não detalhados no contexto |
O ator de ameaça rastreado como UAT-7810, descrito como grupo de ameaça persistente avançada com nexo chinês, continua refinando malware sob medida para ampliar uma rede de Operational Relay Box conhecida como LapDogs. Essa rede ORB veio a público em junho de 2025 e tem como função estabelecer nós de retransmissão operacional que podem ser aproveitados por atores secundários associados em operações contra alvos de alto valor. O padrão observado não se limita a um único payload de compromisso inicial: o conjunto inclui evolução ativa de backdoors, ferramentas de teste em arquiteturas embarcadas e componentes de proxy para manter nós intermediários estáveis.
O campo técnico indica especialização na manutenção e na proliferação da infraestrutura LapDogs, e não necessariamente na exploração final de cada vítima de alto valor. Um dos atores secundários citados que já teria aproveitado a infraestrutura é UAT-5918, associado a ataques contra entidades de infraestrutura crítica em Taiwan desde pelo menos 2023, com objetivo de obter acesso persistente em ambientes-alvo. Para equipes de threat intel e defesa de perímetro, o ponto central é tratar os dispositivos de rede internet-facing como superfície de construção de ORB, e não apenas como endpoints de acesso local trivial.
A versão mais recente do desenvolvimento customizado aponta para LONGLEASH, sucessora de ShortLeash, acompanhada de ferramentas antes não relatadas no mesmo pacote operacional, entre elas DOGLEASH, JARLEASH e LEASHTEST. O ciclo de desenvolvimento ativo, inclusive com binários de teste em plataformas MIPS, sugere que o ator ainda valida comportamento em dispositivos embarcados antes de consolidar o framework completo. Isso reduz a confiança operacional dos operadores da ameaça em novos alvos MIPS e, ao mesmo tempo, amplia a janela de detecção para defensores que observam artefatos de ensaio e falhas de implantação.
A cadeia começa com o comprometimento de equipamentos de rede voltados à internet, em especial roteadores sem correção de falhas já catalogadas. Em cadeias conhecidas do grupo, vulnerabilidades em roteadores sem fio Ruckus foram armadas, incluindo CVE-2020-22653, CVE-2020-22658 e CVE-2023-25717. Campanhas observadas no início do ano também miraram roteadores ASUS AiCloud suscetíveis a CVE-2025-2492, o que indica intenção de ampliar a base de nós ORB. Após o acesso inicial, o operador implantava componentes sob medida em sistemas Linux embarcados, com variantes adicionais voltadas a testes em MIPS.
ShortLeash incorpora um backdoor capaz de contactar servidor externo, hospedar servidor web e atuar tanto como servidor quanto como cliente de comando e controle. LONGLEASH, descrita como versão mais nova e framework de backdoor mais completo, agrega funcionalidades adicionais e reforça o ciclo contínuo de desenvolvimento. Em paralelo, DOGLEASH aparece como backdoor passivo capaz de executar shellcode arbitrário em dispositivo Linux comprometido, hospedado em pelo menos quatro servidores novos com variações menores. JARLEASH, pacote Java em formato JAR, foi implantado em ao menos um de três servidores para fins administrativos, cobrindo gerenciamento de arquivos, FTP, SFTP e Netcat.
Um componente executor habilita funções de proxy por HTTP, DNS, SOCKS, TCP, ICMP e UDP, gerencia conexões com outros servidores, autoriza clientes e remove o implant e rastros quando detecta tentativas de adulteração. Esse comportamento combina retransmissão com mecanismos anticompromisso: o nó intermediário pode retransmitir comandos e dados entre C2 primário e pares, e ao mesmo tempo destruir evidências se houver interferência. LEASHTEST, binário ELF, serve para validar criação de thread, processo filho ou timer assíncrono em dispositivos embarcados baseados em MIPS, o que é coerente com um ator que ainda calibra estabilidade do framework LONGLEASH nessas plataformas.
No desenho ORB, o valor do dispositivo comprometido não está apenas no acesso local, e sim na capacidade de atuar como caixa de retransmissão operacional. O nó pode funcionar como C2 intermediário, jantar comandos do servidor primário e encaminhar tráfego a pares. Para a defesa, isso implica que um roteador doméstico ou corporativo explorado pode passar a integrar uma malha de retransmissão usada por um segundo ator, sem que o operador original do equipamento perceba o uso como infraestrutura de apoio a campanhas contra alvos de alto valor.
A superfície prioritária são dispositivos de rede internet-facing com falhas conhecidas e sem patch, especialmente roteadores Ruckus potencialmente vulneráveis às CVEs citadas e roteadores ASUS AiCloud afetados por CVE-2025-2492. Ambientes com gestão remota frágil, firmware antigo, painéis de administração expostos e segmentação insuficiente entre WAN e redes internas aumentam a chance de o equipamento se tornar nó ORB. Arquiteturas Linux embarcadas e plataformas MIPS entram no radar por causa de DOGLEASH, LONGLEASH e LEASHTEST.
Também entram no escopo servidores usados pelo ator para hospedar variações de DOGLEASH e, em pelo menos um caso, JARLEASH para administração. Organizações em Taiwan e entidades de infraestrutura crítica já associadas a operações de UAT-5918 merecem priorização adicional na correlação de telemetria, sem extrapolar atribuição além do que o contexto sustenta. Qualquer rede que dependa de CPE de borda, Wi-Fi empresarial ou roteadores com serviços de nuvem como AiCloud precisa tratar esses ativos como candidatos a adoção em malhas ORB.
- Roteadores Ruckus sem correção para
CVE-2020-22653,CVE-2020-22658eCVE-2023-25717 - Roteadores ASUS AiCloud vulneráveis a
CVE-2025-2492 - Dispositivos Linux/MIPS embarcados aptos a receber DOGLEASH, LONGLEASH ou LEASHTEST
- Servidores de suporte do ator com variações de DOGLEASH e administração via JARLEASH
- Possível reuso da ORB LapDogs por atores secundários, como UAT-5918
A caça deve cruzar inventário de firmware e exposição de gestão remota com telemetria de processo, rede e autenticidade de binários em dispositivos de borda. Em roteadores e appliances Linux, procurar processos ou pacotes inesperados com perfil de servidor web embutido, backdoor passivo, ou componentes que abram canais de proxy por HTTP, DNS, SOCKS, TCP, ICMP ou UDP. Em MIPS, prestar atenção a ELFs de ensaio que criam threads, processos filhos ou timers assíncronos sem justificativa operacional.
No perímetro e no DNS interno, correlacionar destino de pontos de saída de CPE comprometidos com nós que podem atuar como C2 intermediário. A presença de administração por canais FTP, SFTP ou Netcat em servidores de bastion não autorizados, especialmente associados a pacotes Java JAR em conteúdo atípico, deve gerar alerta. Evite publicar ou reutilizar IoCs ativos; priorize classes de indicador e usuários legítimos de retransmissão anômala.
Em SOCs que observam Taiwan ou setores de infraestrutura crítica, correlacionar Alertas de ATH/UAT associados a UAT-5918 com evidências de nós ORB, sem forçar atribuição única. A telemetria útil inclui autenticidade de imagem de firmware, hashes de binários não oficiais, sockets escutando protocolos incomuns em CPE, e remoção abrupta de artefatos após tentativa de análise — comportamento compatível com a rotina de limpeza do executor quando detecta adulteração.
- Inventário de Ruckus e ASUS AiCloud ainda vulneráveis às CVEs citadas
- Processos embarcados com perfil de C2 dual (cliente e servidor) ou proxy multi-protocolo
- ELFs MIPS de teste criando thread, processo filho ou timer assíncrono sem contexto legítimo
- Pacotes JAR administrativos com FTP/SFTP/Netcat fora do baseline
- Sinais de limpeza automática de implant após inspeção ou alteração no host
A resposta defensiva começa pelo inventário urgente de roteadores Ruckus e ASUS AiCloud expostos, com aplicação das correções disponíveis para CVE-2020-22653, CVE-2020-22658, CVE-2023-25717 e CVE-2025-2492. Enquanto o patch não estiver concluído, restringir exposição de interfaces de administração, desabilitar serviços desnecessários voltados à internet e isolar CPE em segmentos sem acesso irrestrito a redes internas sensíveis. Em seguida, validar integridade de firmware e remover binários não oficiais compatíveis com o perfil das famílias LEASH.
Se houver suspeita de nó ORB, tratar o dispositivo como latência de retransmissão potencialmente usada por terceiros: isolar, preservar evidências mínimas necessárias à análise, rotacionar credenciais de administração e de serviços adjacentes, e reconstruir a partir de imagem confiável do fabricante. Revisar logs de proxy anômalo e conexões outbound persistentes. Para operações contínuas, manter detecções orientadas a behaviour de backdoor passivo, proxy multi-protocolo e limpeza anticompromisso, em vez de depender apenas de hashes estáticos.
No plano de threat intel, registrar LapDogs/UAT-7810 como provedor de infraestrutura ORB e acompanhar reuso por atores secundários sem misturar atribuição. Programas de patch de borda, gestão de ciclo de vida de CPE e monitoramento de protocolos de gerenciamento remoto permanecem as ações de maior retorno. A qualidade da mitigação depende de fechar a pré-condição de exploração de equipamentos não corrigidos e de impedir que um ponto de rede comprometido volte a executar funções de retransmissão.
- Corrigir imediatamente roteadores Ruckus e ASUS AiCloud afetados pelas CVEs citadas
- Remover exposição de administração remota e segmentar CPE da rede interna
- Reconstruir dispositivos suspeitos a partir de firmware confiável e rotacionar credenciais
- Monitorar proxy multi-protocolo, backdoors passivos e limpeza abrupta de implant
- Correlacionar telemetria de ORB com campanhas de atores secundários sem forçar atribuição
0 Comentários