Китайская группа UAT-7810 расширяет скрытую сеть ORB через интернет вещей
2026-07-08 13:56
В избр.

Репортаж от Wedoany,Китайская угрожающая группировка под кодовым названием UAT-7810 продолжает расширять свой набор вредоносных инструментов для увеличения сети ретрансляционных прокси (ORB), построенной на взломанных маршрутизаторах и устройствах интернета вещей. Согласно отчету Cisco Talos, опубликованному 7 июля 2026 года, группа модернизировала ранее обнаруженный бэкдор SHORTLEASH до более мощной версии LONGLEASH, а также добавила DOGLEASH, JARLEASH и тестовый инструмент под названием LEASHTEST.

Китайская группа UAT-7810 расширяет скрытую сеть ORB через интернет вещей

Сеть ORB описывается как гибрид традиционной VPN-структуры и ботнета. Такие организации, как Team Cymru и Mandiant, уже задокументировали подобную инфраструктуру. Злоумышленники маршрутизируют трафик через внешне легитимные устройства в регионе, чтобы скрыть истинный источник активности. Исследования Mandiant показывают, что как минимум с 2024 года связанные с Китаем APT-группы все чаще переходят на использование этих распределенных прокси-сетей, применяя взломанные виртуальные частные серверы, устройства интернета вещей и SOHO-маршрутизаторы для сокрытия путей управления и контроля. Cisco Talos отмечает, что UAT-7810 использует несколько известных уязвимостей, включая CVE-2020-22653, CVE-2020-22658 и CVE-2023-25717 в маршрутизаторах Ruckus, а также CVE-2025-2492 в устройствах Asus AiCloud. Все это известные уязвимости, а не zero-day, что подчеркивает проблему долгосрочного отсутствия обновлений на многих устройствах, подключенных к интернету.

Недавно обнаруженный бэкдор LONGLEASH значительно расширяет возможности по сравнению с оригинальным SHORTLEASH, задокументированным SecurityScorecard в 2025 году. Вредоносное ПО теперь поддерживает обратную оболочку, а также многопротокольное проксирование через HTTP, DNS, SOCKS, TCP, ICMP и UDP, обладает функциями SMTP-клиента и сервера, а также поддерживает TLS и PKI. Оно может самоуничтожаться при обнаружении вмешательства или подозрительной активности, управлять туннелями и выступать в качестве промежуточного узла управления и контроля, пересылая команды и данные между зараженными устройствами. Этот инструмент функционирует в более широкой шпионской экосистеме, способствуя созданию сетевой структуры, через которую могут маршрутизироваться другие связанные с Китаем APT-группы, включая UAT-5918.

DOGLEASH и JARLEASH демонстрируют модульный подход UAT-7810. DOGLEASH — это легковесный бэкдор для Linux, развертываемый через веб-шелл-скрипты. Он открывает прослушивающий TCP-порт и использует жестко заданный пароль для проверки входящих запросов, поддерживая выполнение команд оболочки, доступ к файлам и произвольное выполнение кода в памяти. JARLEASH — это инструмент управления на Java, предоставляющий веб-ориентированное управление файлами, а также функции FTP-, SFTP- и Netcat-серверов. LEASHTEST, в свою очередь, сосредоточен на проверке способности MIPS-устройств интернета вещей выполнять функции, связанные с вредоносным ПО, что указывает на то, что злоумышленники перед масштабным развертыванием новых инструментов регулярно тестируют аппаратные ограничения.

Отраслевые аналитики давно следят за этим тактическим сдвигом. Сообщество IEEE (Институт инженеров электротехники и электроники) неоднократно обсуждало риски, связанные с неуправляемыми периферийными устройствами, особенно с дешевыми (домашними) маршрутизаторами и IP-камерами, которые по-прежнему поставляются с устаревшей прошивкой. Gartner в своем обзоре охвата операций безопасности отмечает, что распределенная командная инфраструктура часто требует от организаций пересмотра методов мониторинга трафика «восток-запад» в своей среде. GAO (Счетная палата США) в ходе текущего анализа готовности федеральной кибербезопасности указывает, что агентства иногда испытывают трудности с поддержанием точного учета подключенных к сети устройств, что может создавать слепые зоны.

Анализ Cisco Talos подчеркивает, что UAT-7810 в значительной степени полагается на известные уязвимости. Временные рамки установки исправлений и инвентаризация активов самым практическим образом определяют уровень подверженности риску. Описанные возможности согласуются с такими фреймворками, как Cybersecurity Framework Национального института стандартов и технологий США (NIST) и матрица MITRE ATT&CK. Сети ORB относятся к гибриду техник ATT&CK, связанных с управлением и контролем, проксированием и использованием скомпрометированной инфраструктуры.

Cisco Talos заключает, что UAT-7810 активно заменяет или расширяет свои старые развертывания SHORTLEASH на LONGLEASH, одновременно увеличивая общий охват за счет взлома устройств с использованием n-day уязвимостей. Оценка группы отражает новую реальность: операторы шпионских операций инвестируют не только в инструменты взлома, но и в устойчивую инфраструктуру, предназначенную для выдерживания попыток демонтажа.

Эта новость является результатом компиляции и перепечатки информации из глобального Интернета и стратегических партнеров. Она предназначена только для читателей. Если у вас возникнут какие-либо нарушения или другие проблемы, пожалуйста, своевременно сообщите нам. Этот сайт изменить или удалить ее. Перепечатка этой статьи без официального разрешения строго запрещена.электронная почта:news@wedoany.com
Связанные продукты
Связанные рекомендации
Польский Play строит оптоволоконную сеть, охватывающую 6 миллионов домохозяйств
2026-07-08
Правительство РФ уполномочило президиум комитета по цифровому развитию координировать региональную цифровую трансформацию
2026-07-08
Шведская Ericsson закладывает цифровой фундамент для внедрения технологий 5G в Индонезии
2026-07-08
Канадский инвестиционный совет CPP инвестирует 1,75 миллиарда долларов в EQT
2026-07-08
В индийском городе Бхубанешвар появятся два новых центра обработки данных с инвестициями в 106,648 млрд рупий
2026-07-08
BSNL Индии набирает партнеров в Западной Бенгалии для подключения 3340 деревень
2026-07-08
ST Digital запускает первый суверенный центр обработки данных уровня Tier III в Габоне
2026-07-08
Youyan Silicon приобретает 60% акций Jinglong Semiconductor за около 451 млн юаней
2026-07-08
Китайская компания AMEC завершила частное размещение на 1,5 млрд юаней, получив контроль над Hangzhou Zhonggui
2026-07-08
Китайская компания Shengong планирует инвестировать 1,13 млрд юаней в три проекта по производству полупроводниковых материалов
2026-07-08
Последние новости
1
Польский Play строит оптоволоконную сеть, охватывающую 6 миллионов домохозяйств
2
Индийский девелопер Godrej Properties приобрел участок площадью 4,95 акра в секторе 151 Нойды за 3,32 млрд рупий
3
В Нью-Йорке переоборудуют вертолётные площадки в посадочные зоны для eVTOL, планируется запуск в этом году
4
Правительство РФ уполномочило президиум комитета по цифровому развитию координировать региональную цифровую трансформацию
5
Шведская Ericsson закладывает цифровой фундамент для внедрения технологий 5G в Индонезии
6
Испанская компания ACCIONA ввела в эксплуатацию 56-метровый плавучий док для производства шести кессонов весом по 15 000 тонн
7
Американская компания Robinson Restoration расширяет возможности аварийного реагирования в связи с увеличением числа случаев обратного потока сточных вод в Сиэтле
8
Министерство промышленности и информатизации КНР опубликовало план отраслевых стандартов четвертой партии на 2026 год, 27 из которых касаются цементобетона
9
Канадский инвестиционный совет CPP инвестирует 1,75 миллиарда долларов в EQT
10
Ирландская лизинговая компания B&P получила 40 подъемников Haulotte