Репортаж от Wedoany,Китайская угрожающая группировка под кодовым названием UAT-7810 продолжает расширять свой набор вредоносных инструментов для увеличения сети ретрансляционных прокси (ORB), построенной на взломанных маршрутизаторах и устройствах интернета вещей. Согласно отчету Cisco Talos, опубликованному 7 июля 2026 года, группа модернизировала ранее обнаруженный бэкдор SHORTLEASH до более мощной версии LONGLEASH, а также добавила DOGLEASH, JARLEASH и тестовый инструмент под названием LEASHTEST.

Сеть ORB описывается как гибрид традиционной VPN-структуры и ботнета. Такие организации, как Team Cymru и Mandiant, уже задокументировали подобную инфраструктуру. Злоумышленники маршрутизируют трафик через внешне легитимные устройства в регионе, чтобы скрыть истинный источник активности. Исследования Mandiant показывают, что как минимум с 2024 года связанные с Китаем APT-группы все чаще переходят на использование этих распределенных прокси-сетей, применяя взломанные виртуальные частные серверы, устройства интернета вещей и SOHO-маршрутизаторы для сокрытия путей управления и контроля. Cisco Talos отмечает, что UAT-7810 использует несколько известных уязвимостей, включая CVE-2020-22653, CVE-2020-22658 и CVE-2023-25717 в маршрутизаторах Ruckus, а также CVE-2025-2492 в устройствах Asus AiCloud. Все это известные уязвимости, а не zero-day, что подчеркивает проблему долгосрочного отсутствия обновлений на многих устройствах, подключенных к интернету.
Недавно обнаруженный бэкдор LONGLEASH значительно расширяет возможности по сравнению с оригинальным SHORTLEASH, задокументированным SecurityScorecard в 2025 году. Вредоносное ПО теперь поддерживает обратную оболочку, а также многопротокольное проксирование через HTTP, DNS, SOCKS, TCP, ICMP и UDP, обладает функциями SMTP-клиента и сервера, а также поддерживает TLS и PKI. Оно может самоуничтожаться при обнаружении вмешательства или подозрительной активности, управлять туннелями и выступать в качестве промежуточного узла управления и контроля, пересылая команды и данные между зараженными устройствами. Этот инструмент функционирует в более широкой шпионской экосистеме, способствуя созданию сетевой структуры, через которую могут маршрутизироваться другие связанные с Китаем APT-группы, включая UAT-5918.
DOGLEASH и JARLEASH демонстрируют модульный подход UAT-7810. DOGLEASH — это легковесный бэкдор для Linux, развертываемый через веб-шелл-скрипты. Он открывает прослушивающий TCP-порт и использует жестко заданный пароль для проверки входящих запросов, поддерживая выполнение команд оболочки, доступ к файлам и произвольное выполнение кода в памяти. JARLEASH — это инструмент управления на Java, предоставляющий веб-ориентированное управление файлами, а также функции FTP-, SFTP- и Netcat-серверов. LEASHTEST, в свою очередь, сосредоточен на проверке способности MIPS-устройств интернета вещей выполнять функции, связанные с вредоносным ПО, что указывает на то, что злоумышленники перед масштабным развертыванием новых инструментов регулярно тестируют аппаратные ограничения.
Отраслевые аналитики давно следят за этим тактическим сдвигом. Сообщество IEEE (Институт инженеров электротехники и электроники) неоднократно обсуждало риски, связанные с неуправляемыми периферийными устройствами, особенно с дешевыми (домашними) маршрутизаторами и IP-камерами, которые по-прежнему поставляются с устаревшей прошивкой. Gartner в своем обзоре охвата операций безопасности отмечает, что распределенная командная инфраструктура часто требует от организаций пересмотра методов мониторинга трафика «восток-запад» в своей среде. GAO (Счетная палата США) в ходе текущего анализа готовности федеральной кибербезопасности указывает, что агентства иногда испытывают трудности с поддержанием точного учета подключенных к сети устройств, что может создавать слепые зоны.
Анализ Cisco Talos подчеркивает, что UAT-7810 в значительной степени полагается на известные уязвимости. Временные рамки установки исправлений и инвентаризация активов самым практическим образом определяют уровень подверженности риску. Описанные возможности согласуются с такими фреймворками, как Cybersecurity Framework Национального института стандартов и технологий США (NIST) и матрица MITRE ATT&CK. Сети ORB относятся к гибриду техник ATT&CK, связанных с управлением и контролем, проксированием и использованием скомпрометированной инфраструктуры.
Cisco Talos заключает, что UAT-7810 активно заменяет или расширяет свои старые развертывания SHORTLEASH на LONGLEASH, одновременно увеличивая общий охват за счет взлома устройств с использованием n-day уязвимостей. Оценка группы отражает новую реальность: операторы шпионских операций инвестируют не только в инструменты взлома, но и в устойчивую инфраструктуру, предназначенную для выдерживания попыток демонтажа.










