スパイ活動用のORB(オペレーショナル・リレー・ボックス)ネットワークを構築している中国系の高度persistent脅威(APT)アクターが、新たなバックドアで攻撃ツールを更新していることが、Ciscoの脅威インテリジェンスチームTalosの調査により明らかになりました。
LapDogsと呼ばれる長期にわたるスパイ活動用インフラ構築キャンペーンの一環として、このAPTは1,000台を超えるSOHO(家庭用/小規模オフィス向け)ルーターにShortLeashバックドアを感染させていたことを、SecurityScorecardが昨年報告していました(関連記事)。
Talosはこの脅威アクターをUAT-7810として追跡していますが、今回同社は同バックドアの新バージョンである「LongLeash」に加え、このAPTが利用してきた他の2つのマルウェアファミリー「DogLeash」および「JarLeash」を発見しました。
UAT-7810は主にRuckusの無線ルーターに存在する既知の脆弱性を標的としており、その対象にはCVE-2020-22653、CVE-2020-22658、CVE-2023-25717が含まれます。また、MIPS、ARM、x64を含む複数のアーキテクチャ向けのペイロードを使用していることも確認されています。
Talosは、UAT-7810がペイロードのダウンロードに使用するVPSインスタンスに関連するIPアドレスを3件特定したほか、DogLeashやそれに付随するシェルスクリプトなどの悪意あるペイロードをホストするために同APTが使用してきた新たなサーバーを4台特定しました。
これらのIPアドレスのうち1件は、2025年11月に公表された「Operation WrtHug」と呼ばれるORB構築キャンペーンの一環とみられる、Asus AiCloudルーターを標的とした攻撃にも使用されていました(関連記事)。
Talosによれば、UAT-7810は別の中国系APTであるUAT-5918にインフラを提供しているとのことです。両グループが使用するツールには重複が見られるものの、依然として別グループとして追跡されています。
今回新たに確認されたLongLeashバックドアは、C&C(コマンド&コントロール)通信、Webサーバーのホスティング、トンネル管理、C&Cとクライアントの双方として機能する能力など、以前ShortLeashで確認されていた機能をベースに、さらなる機能を追加したものです。
大部分は同じコードベース上に構築されていますが、オープンソースライブラリであるNanopbおよびMbedTLSのコードも含まれています。このバックドアは中継サーバーとしても機能し、C&Cから受信したコマンドやデータを他のピアに転送することが可能です。
DogLeashはC言語ベースのパッシブ型バックドアで、シェルスクリプト経由で展開されます。このスクリプトは、DogLeashがバインドして待ち受けるポートへのTCPトラフィックを許可するiptablesルールも追加します。C&Cから受信したコードに基づき、このバックドアはコマンドの実行、ファイルの読み取り、ファイル名の変更、ソケットリスナーの停止、OS情報の取得、メモリ上でのコード実行が可能です。
JarLeashはJavaベースのバックドアで、UAT-7810に侵害済みシステムへの容易なアクセス手段を提供します。このバックドアは、既存の同バックドアのインスタンスをすべて停止させた上でJavaコンテナを起動しマルウェアを展開する、専用のスクリプトと組み合わせて使用されます。また、このバックドアはAPTの内部インフラ上に展開することも可能です。
このバックドアはWebベースのファイル管理インターフェースおよびFTP・SFTPサーバーをホストできるほか、指定されたIPアドレスとポート番号でnetcatサーバーを稼働させることも可能です。
UAT-7810は、MIPSプラットフォーム上での機能テスト用バイナリ「LeashTest」の開発も行っていることが確認されました。これ自体に悪意はありませんが、侵害の痕跡(IoC)となり得るものです。
Talosは次のように指摘しています。「LeashTestの開発・使用が示しているのは、UAT-7810がLongLeashという本格的なバックドアフレームワークをすでに開発済みであるにもかかわらず、依然としてMIPSプラットフォーム上での機能テストを積極的に行っているという事実です。これは、MIPSデバイス上での動作について同グループが完全な確信を持てていない可能性を示唆しています」
翻訳元: https://www.securityweek.com/china-linked-apt-expands-arsenal-with-new-leash-backdoors/