「UAT-7810」として追跡されている中国系ハッカー集団は、主にパッチが未適用のRuckusルーターなどインターネットに接続されたネットワーク機器を侵害することで、自らのオペレーショナル・リレー・ボックス(ORB)ネットワークを拡大するべく、マルウェアの改良を続けています。
Cisco Talosの研究者らによると、このORBネットワークはUAT-5918を含む他の中国系高度標的型攻撃(APT)グループのための、安全なリレーインフラとして機能しているとのことです。
このタイプのインフラは、以前にGoogle Mandiantによって報告されており、脅威アクターが地域のデバイスを経由してネットワークトラフィックをプロキシすることを可能にします。これにより、トラフィックが正規のローカルインフラから発信されているように見せかけ、検知を回避し、攻撃者の特定を困難にします。
Talosのアナリストは、今回のキャンペーンにおいて新たなマルウェアを複数特定しました。これには、以前から知られているバックドア「SHORTLEASH」の新バージョンである「LONGLEASH」、Linux向けバックドア「DOGLEASH」、管理ツール「JARLEASH」、テスト用ユーティリティ「LEASHTEST」が含まれます。
研究者らの報告によれば、UAT-7810は初期アクセスを獲得する手段として、主に既知の(nデイ)脆弱性を悪用しています。具体的には、Ruckusルーターの CVE-2020-22653、CVE-2020-22658、およびCVE-2023-25717、さらにASUS AiCloudルーターのCVE-2025-2492が悪用対象となっています。
LONGLEASHマルウェア
新たに発見されたLONGLEASHマルウェアは、2025年にSecurityScorecardによって初めて報告されたSHORTLEASHのアップグレード版であり、その機能を大幅に拡張しています。
このマルウェアは、コマンド&コントロール(C2)通信、Webサーバーのホスティング、ネットワークトンネルの管理、C2サーバーおよびクライアントの両方としての動作をサポートしていた従来のバージョンをベースに構築されています。
これらに加え、Talosの研究者らは今回、以下の機能も確認しています。
- リバースシェル
- HTTP、DNS、SOCKS、TCP、ICMP、UDPのプロキシ機能とトラフィックのリダイレクト
- SMTPクライアント/サーバー機能
- TLSおよびPKIのサポート
- 改ざんやその他の不審な挙動が検知された際の自己削除機能
- 中間C2サーバーとして機能し、感染ノード間でコマンドやデータを転送する機能
DOGLEASH、JARLEASH、LEASHTEST
LONGLEASHのほかにも、研究者らはWebシェルスクリプト経由で展開される軽量なLinux向けバックドア「DOGLEASH」を発見しています。
起動すると、待ち受け用のTCPポートを開き、ハードコードされたパスワードを用いて着信リクエストを認証します。シェルコマンドの実行、ファイルへのアクセスおよび改変、OS情報の取得、そしてホストのメモリ上で直接任意のコードを実行する機能をサポートしています。
JARLEASHはJavaベースの管理ツールで、Webベースのファイル管理機能を提供するほか、FTP、SFTP、Netcatサーバーとしての機能も備えています。
さらに脅威アクターらは、MIPSベースのIoTデバイスがマルウェア動作に関連する機能を実行できるかどうかを検証するために使用できる「LEASHTEST」も開発しています。これは、LONGLEASHのMIPS対応機能を洗練させる目的があるとみられています。
Cisco Talosは、UAT-7810が引き続きORBインフラの拡大を進めており、より高機能なLONGLEASHによってSHORTLEASHを積極的に置き換え、あるいは拡張しつつ、新たなマルウェアによってツールキットを広げ続けていると結論付けています。
UAT-7810の活動および最新のツールセットに関連する侵害指標(IoC)の完全なリストは、Cisco Talosのレポート末尾に掲載されています。
攻撃者に先んじて、あらゆるレイヤーをテストする
セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが発報されるのはたった14%にとどまります。残りは環境内を検知されないまま通り抜けているのです。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMやEDRのルールをテストし、脅威の検知漏れを防ぐ方法を紹介しています。