
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Cisco Talos opisało rozwój kampanii prowadzonej przez grupę śledzoną jako UAT-7810, której celem jest rozbudowa sieci typu ORB, czyli Operational Relay Box. Tego rodzaju infrastruktura wykorzystuje przejęte urządzenia brzegowe do pośredniczenia w ruchu operacyjnym, ukrywania źródeł komunikacji i utrudniania atrybucji działań. W najnowszej odsłonie kampanii badacze wskazali nowe narzędzie LONGLEASH, będące rozwinięciem wcześniej znanego backdoora SHORTLEASH.
W skrócie
- Operatorzy UAT-7810 kompromitują publicznie dostępne urządzenia sieciowe, głównie niezałatane routery i systemy brzegowe.
- Celem ataków jest rozbudowa infrastruktury ORB służącej do ukrywania komunikacji i pośredniczenia w dalszych operacjach.
- LONGLEASH rozszerza możliwości SHORTLEASH o reverse shell, wieloprotokołowe proxy, obsługę TLS/PKI, autousuwanie i funkcje pośredniego serwera C2.
- W kampanii pojawiają się również narzędzia DOGLEASH, JARLEASH i LEASHTEST.
Kontekst / historia
Koncepcja ORB nie jest nowa. W ostatnich latach środowisko threat intelligence wielokrotnie wskazywało, że aktorzy sponsorowani przez państwo coraz częściej budują rozproszone warstwy pośredniczące oparte na przejętych routerach, urządzeniach IoT i serwerach VPS. Takie podejście pozwala wykorzystywać lokalną infrastrukturę w regionie ofiary, co obniża skuteczność prostych mechanizmów detekcji bazujących na geolokalizacji, reputacji adresów IP czy statycznych wskaźnikach kompromitacji.
W przypadku UAT-7810 badacze wskazują na kontynuację wcześniejszych działań związanych z rodziną SHORTLEASH. Nowa kampania pokazuje przejście od pojedynczego backdoora do bardziej dojrzałego zestawu narzędzi, zorientowanego na utrzymanie dostępu, przekazywanie ruchu oraz elastyczne wykorzystanie przejętych urządzeń jako infrastruktury operacyjnej. To ważny sygnał, że przeciwnik inwestuje w trwałe zaplecze techniczne, a nie jedynie w incydentalne włamania.
Analiza techniczna
Punktem wejścia do kampanii są znane luki w urządzeniach sieciowych wystawionych do internetu. Według ustaleń badaczy UAT-7810 wykorzystywał między innymi podatności CVE-2020-22653, CVE-2020-22658 i CVE-2023-25717 w routerach Ruckus, a także CVE-2025-2492 w rozwiązaniach ASUS AiCloud. To oznacza, że skuteczność operacji nie zależy od użycia zero-day, lecz od niedostatecznego zarządzania poprawkami i nadmiernej ekspozycji usług administracyjnych.
LONGLEASH stanowi rozwinięcie SHORTLEASH i znacząco zwiększa elastyczność działania przejętego hosta. Malware obsługuje reverse shell, proxy dla HTTP, DNS, SOCKS, TCP, ICMP i UDP, a także funkcje redirekcji ruchu. Z perspektywy obrońcy oznacza to, że zainfekowane urządzenie może jednocześnie działać jako przekaźnik, punkt tunelowania, serwer pośredniczący dla kolejnych etapów ataku oraz element ukrytej infrastruktury C2.
Istotnym rozszerzeniem jest obsługa TLS i PKI, która może pomóc w maskowaniu komunikacji i utrudnić analizę ruchu sieciowego. Funkcja autousuwania po wykryciu manipulacji lub podejrzanej aktywności sugeruje świadomość działań defensywnych i próbę ograniczenia możliwości pozyskania artefaktów przez zespoły reagowania. Z kolei zdolność pracy jako pośredni serwer C2 wzmacnia architekturę wielowarstwową i ogranicza potrzebę bezpośredniego kontaktu z końcową infrastrukturą operatora.
DOGLEASH został opisany jako lekki backdoor dla systemów Linux, wdrażany przy użyciu skryptów web shell. Po uruchomieniu nasłuchuje na porcie TCP i uwierzytelnia żądania za pomocą zakodowanego hasła. Narzędzie umożliwia wykonywanie poleceń powłoki, dostęp do plików, ich modyfikację, pobieranie informacji o systemie oraz uruchamianie kodu bezpośrednio w pamięci.
JARLEASH pełni rolę narzędzia administracyjnego opartego na Javie. Zapewnia interfejs webowy do zarządzania plikami oraz funkcje serwerowe związane z FTP, SFTP i Netcat. Może służyć jako pomocniczy komponent operatorski do transferu narzędzi, danych i konfiguracji pomiędzy węzłami ORB. LEASHTEST wygląda natomiast na narzędzie walidacyjne używane do sprawdzania, czy urządzenie IoT w architekturze MIPS potrafi obsłużyć funkcje wymagane przez malware. To wskazuje na aktywne rozwijanie zgodności LONGLEASH z różnorodnym sprzętem brzegowym.
Konsekwencje / ryzyko
Najpoważniejsze ryzyko wynika z faktu, że atakowane są urządzenia brzegowe, które w wielu organizacjach pozostają poza pełnym monitoringiem EDR, centralnym logowaniem i dojrzałym procesem hardeningu. Przejęty router może przez długi czas działać jako ukryty punkt pośredniczący, nie wywołując oczywistych objawów po stronie użytkowników.
Sieci ORB zwiększają koszty obrony, ponieważ utrudniają korelację incydentów i atrybucję. Ruch pochodzący z legalnie działającego urządzenia w danym kraju lub regionie może wyglądać wiarygodnie, co sprzyja omijaniu prostych polityk blokowania. Dodatkowo kompromitacja urządzeń sieciowych może prowadzić do eskalacji operacji: od maskowania komunikacji, przez pośrednictwo w dalszych atakach, aż po wsparcie działań szpiegowskich przeciw organizacjom trzecim.
Ryzyko ma również wymiar prawny i operacyjny. Organizacja, której infrastruktura została włączona do ORB, może nieświadomie uczestniczyć w atakach na innych podmiotów. W praktyce oznacza to możliwość blokady adresów IP przez partnerów, spadek reputacji sieci, wzrost kosztów reagowania oraz konieczność szerokiego przeglądu całej ekspozycji internetowej.
Rekomendacje
Priorytetem powinno być natychmiastowe ograniczenie ekspozycji interfejsów administracyjnych urządzeń brzegowych. Zarządzanie routerami i urządzeniami IoT nie powinno być dostępne bezpośrednio z internetu, chyba że jest to absolutnie niezbędne i dodatkowo chronione przez silne mechanizmy kontroli dostępu, segmentację oraz MFA tam, gdzie producent to umożliwia.
Drugim krokiem jest rygorystyczne zarządzanie poprawkami. Kampania opiera się na znanych podatnościach, dlatego organizacje powinny przeprowadzić inwentaryzację urządzeń Ruckus, ASUS oraz innych elementów infrastruktury SOHO i edge, a następnie zweryfikować poziom aktualizacji firmware’u. W środowiskach o ograniczonej możliwości patchowania warto wdrożyć kompensacyjne mechanizmy ochronne, takie jak filtrowanie dostępu administracyjnego, ACL, geofencing, VPN administracyjny i monitoring anomalii sieciowych.
Z perspektywy detekcji należy monitorować nietypowe połączenia wychodzące z urządzeń, które standardowo nie powinny realizować funkcji proxy, tunelowania ICMP czy wieloprotokołowego przekazywania ruchu. Szczególną uwagę warto zwrócić na ruch DNS, SOCKS i ICMP odbiegający od normalnego profilu pracy urządzenia. Dobrym kierunkiem jest również analiza zmian konfiguracji, integralności firmware’u oraz nieautoryzowanych procesów nasłuchujących na portach TCP.
W procesie reagowania przejęty router należy traktować nie tylko jako pojedynczy incydent, lecz jako potencjalny element większej infrastruktury przeciwnika. Oznacza to potrzebę zabezpieczenia artefaktów, przeglądu logów brzegowych, rotacji poświadczeń administracyjnych, wymiany kluczy i certyfikatów, a w razie potrzeby pełnej reinstalacji firmware’u z zaufanego obrazu. Warto również uwzględnić dostępne wskaźniki kompromitacji oraz reguły detekcyjne publikowane przez zespoły badawcze.
Podsumowanie
Kampania UAT-7810 pokazuje, że urządzenia brzegowe pozostają atrakcyjnym i relatywnie tanim celem dla zaawansowanych operatorów. LONGLEASH nie jest jedynie kolejnym backdoorem, lecz elementem szerszej strategii budowy elastycznej infrastruktury ORB do ukrywania ruchu, pośredniczenia w komunikacji i wspierania dalszych operacji. Dla obrońców kluczowe znaczenie mają szybkie łatanie znanych luk, ograniczenie ekspozycji interfejsów zarządzania oraz rozszerzenie monitoringu na routery, urządzenia IoT i inne zasoby, które zbyt często pozostają poza głównym zakresem widoczności SOC.
Źródła
- Cisco Talos: UAT-7810 continues building ORB networks using new malware — https://blog.talosintelligence.com/uat-7810-continues-building-orb-networks-using-new-malware/
- BleepingComputer: Chinese hackers develop LONGLEASH malware to expand ORB network — https://www.bleepingcomputer.com/news/security/chinese-hackers-develop-longleash-malware-to-expand-orb-network/
- Google Cloud Blog: IOC Extinction? China-Nexus Cyber Espionage Actors Use ORB Networks to Raise Cost on Defenders — https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-orb-networks
- MITRE CVE: CVE-2023-25717 — https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25717
- MITRE CVE: CVE-2025-2492 — https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-2492