Nhóm tin tặc UAT-7810 mở rộng mạng lưới ORB với malware mới mang tên LONGLEASH
Nhóm tin tặc UAT-7810 đang tích cực nâng cấp kho vũ khí malware của mình để mở rộng mạng lưới Operational Relay Box (ORB), nhắm mục tiêu vào các thiết bị mạng dễ bị tổn...
Nhóm tin tặc có liên hệ với Trung Quốc, được định danh là UAT-7810, đang đẩy mạnh hoạt động bằng cách tinh chỉnh các loại malware tùy chỉnh nhằm mở rộng mạng lưới Operational Relay Box (ORB). Các chuyên gia từ Cisco Talos cho biết nhóm này chuyên xâm nhập vào các thiết bị mạng kết nối internet để thiết lập hạ tầng trung gian cho các cuộc tấn công khác.
Theo báo cáo, UAT-7810 chịu trách nhiệm vận hành và phát triển mạng lưới LapDogs, một hệ thống ORB được phát hiện từ tháng 6/2025. Mục tiêu chính của mạng lưới này là cung cấp hạ tầng cho các nhóm tin tặc khác thực hiện các chiến dịch tấn công vào những mục tiêu quan trọng, điển hình như nhóm UAT-5918 từng nhắm vào hạ tầng trọng yếu tại Đài Loan.
Kho vũ khí malware ngày càng tinh vi
Bên cạnh việc phát triển phiên bản kế nhiệm của ShortLeash mang tên LONGLEASH, nhóm UAT-7810 còn sử dụng thêm hai công cụ mới là:
- DOGLEASH: Một backdoor thụ động cho phép thực thi shellcode tùy ý trên các thiết bị Linux bị xâm nhập.
- LEASHTEST: Một tệp tin nhị phân ELF dùng để kiểm thử các chức năng như tạo luồng (thread), tiến trình con hoặc bộ đếm thời gian bất đồng bộ trên các thiết bị nhúng kiến trúc MIPS.
Ngoài ra, nhóm này còn triển khai một backdoor dựa trên Java có tên JARLEASH để quản trị từ xa, hỗ trợ các thao tác như quản lý tệp tin, FTP, SFTP và Netcat.
Phương thức tấn công và khả năng của LONGLEASH
UAT-7810 thường khai thác các lỗ hổng đã biết trên các thiết bị router không được vá lỗi, chẳng hạn như dòng Ruckus (CVE-2020-22653, CVE-2020-22658, CVE-2023-25717) và gần đây là ASUS AiCloud (CVE-2025-2492).
So với phiên bản tiền nhiệm, LONGLEASH sở hữu nhiều tính năng nâng cấp đáng chú ý:
- Khả năng proxy đa giao thức: Hỗ trợ HTTP, DNS, SOCKS, TCP, ICMP và UDP.
- Cơ chế tự bảo vệ: Có khả năng tự xóa sạch dấu vết nếu phát hiện bất kỳ nỗ lực can thiệp nào.
- Điều phối trung gian: Đóng vai trò như một server C2 trung gian để chuyển tiếp lệnh và dữ liệu từ server C2 chính đến các thiết bị bị chiếm quyền khác.
Các nhà nghiên cứu tại Cisco Talos nhận định rằng dù LONGLEASH đã là một framework hoàn chỉnh, việc UAT-7810 vẫn tiếp tục sử dụng LEASHTEST cho thấy nhóm này vẫn đang trong quá trình thử nghiệm và tối ưu hóa khả năng tương thích trên các nền tảng MIPS.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.