Cisco Talosの専門家がUAT-7810グループに関する新たな詳細を公表しました。この集団はLapDogsと呼ばれる高度なORBネットワークを積極的に開発しています。彼らはインターネットルーターを戦略的に感染させ、中国系の他のグループがサイバー活動を安全に隠蔽できるよう支援しています。
Talosによると、UAT-7810は単に個別のデバイスを侵害するだけではありません。むしろこのグループは、後に高価値の標的を攻撃するための、広範かつ複雑なインフラを構築しています。この構造的な仕組みでは、感染させたルーターを静かな中継ノードとして利用します。その結果、悪意のあるトラフィックはこれらのノードを経由し、まったく検知されずに流れます。これにより、こうしたサイバー攻撃の真の発信元を特定することが極めて困難になります。ごく普通のネットワーク機器が、知らぬ間に敵対的インフラへと変貌するのです。
高度なマルウェアの武器庫
さらに、この集団は独自ツールの改良をたゆまず続けています。Talosは最近、既知のマルウェアSHORTLEASHの高度化した亜種を発見しました。彼らはこの非常に高度な亜種をLONGLEASHとして追跡しています。この新バージョンはネットワークトラフィックをはるかに効果的にプロキシします。堅牢なネットワークトンネルを構築し、暗号化された接続をスムーズに管理します。さらに、感染した各ノード間でコマンドをシームレスに中継します。
LONGLEASHは、信頼性の高いコマンド&コントロール(C2)の中継サーバーとしても機能します。中枢から重要な指令を受け取り、他の侵害済みデバイスへ直接転送します。

JARLEASHの主要コンポーネント
DOGLEASHとJARLEASHの出現
調査担当者は、これまで報告されていなかった2種類の悪意あるプログラムも発見しました。DOGLEASHは、Linux環境向けに特化して作られた秘密のバックドアとして機能します。これにより、脅威アクターはコマンドを実行し、機密ファイルを抽出できます。さらに、バックアップの作成やメモリ上での悪意あるコードの実行も可能です。
一方、JARLEASHはJavaを利用しており、非常に強力なファイル管理機能を備えています。隠されたFTPおよびSFTPサーバーを難なく稼働させます。また、標準的なネットワークユーティリティを通じて、信頼性の高いリモートアクセスも確保します。特筆すべき点として、アナリストはJARLEASHの設定ファイル内に、簡体字中国語で書かれた注釈が深く埋め込まれていることを発見しました。
パッチ未適用のネットワーク機器を狙う
パッチが適用されていないネットワーク機器は、このグループにとって依然として主要な標的です。Talosは、UAT-7810を著名な脆弱性の悪用と強く関連付けています。彼らはRuckusの無線ルーターを頻繁に標的としています。これには、CVE-2020-22653、CVE-2020-22658、そして深刻な脆弱性であるCVE-2023-25717などの重大な欠陥が含まれます。
さらに、攻撃者は2026年初頭、特定されたIPアドレスの一つを積極的に利用しました。彼らはCVE-2025-2492を通じて、ASUSのAiCloudルーターを標的とする悪意あるキャンペーンでこれを使用しました。この持続的な活動は、感染したボットネットを急速に拡大しようとする戦略的な取り組みを強く示唆しています。
新たなサイバーインフラの構築
最近、Talosは新たに構築された4台の悪意あるサーバーを特定しました。攻撃者たちはこれらの拠点を利用し、さまざまなハードウェアアーキテクチャに悪意あるペイロードを配布しました。彼らは特にMIPS、ARM、x64の各プラットフォームを標的としました。侵害されたデバイスは展開スクリプトを首尾よく実行しました。その後、これらのスクリプトはDOGLEASHをダウンロードし、着信接続に必要なポートを開放しました。
LEASHTESTと適切に名付けられた特有のテストファイルは、MIPSデバイス上で基本機能を検証するものでした。これは、組み込みシステム向けにサイバーツールを最適化することへの継続的な注力を明確に示しています。
Talosは高い確度で、UAT-7810を中国系のネクサスに直接帰属させています。しかし、彼らはこの集団をUAT-5918グループとは明確に区別しています。UAT-7810は、基盤となるネットワークインフラの構築そのものに完全に注力していると見られます。一方、提携するグループはこれらの整備済みノードを活用し、自らの標的型攻撃を実行しています。
翻訳元: https://meterpreter.org/uat-7810-router-attacks/