UAT-7810: Nueva amenaza LONGLEASH amplía la red ORB en China

Publicado el

UAT-7810 y la expansión de la red ORB

El grupo de actores de amenazas vinculado a China, UAT-7810, está perfeccionando su malware personalizado para ampliar su red conocida como Operational Relay Box (ORB). Este avance se basa en la explotación de dispositivos de red expuestos a Internet, tal y como han indicado investigaciones de Cisco Talos.

UAT-7810 es considerado un actor de amenaza persistente avanzada (APT), responsable de mantener y expandir la red LapDogs, que fue descubierta en junio de 2025. Investigadores como Jungsoo An, Asheer Malhotra, Vanja Svajcer y Brandon White han señalado que UAT-7810 tiene como objetivo establecer redes ORB que pueden ser utilizadas por otros actores de amenazas para llevar a cabo ataques contra objetivos de alto valor.

Un ejemplo de esto es el actor de amenazas UAT-5918, que ha utilizado la infraestructura de UAT-7810 en sus ataques dirigidos a entidades de infraestructura crítica en Taiwán desde 2023, buscando mantener un acceso persistente a los entornos de las víctimas.

Desarrollo del malware LONGLEASH

Recientemente, UAT-7810 ha hecho avances significativos en el desarrollo de su malware, presentando una nueva versión conocida como LONGLEASH, que sigue al anterior ShortLeash. Además, el grupo ha introducido dos herramientas previamente no reportadas: DOGLEASH, un backdoor pasivo que ejecuta código en dispositivos Linux comprometidos, y LEASHTEST, un binario ELF utilizado para probar funcionalidades en dispositivos embebidos basados en MIPS.

Los investigadores han observado que UAT-7810 ha utilizado al menos cuatro nuevos servidores para alojar diversas variantes menores de DOGLEASH, desplegándolas contra objetivos comprometidos. También se ha detectado un backdoor basado en Java, denominado JARLEASH, que se ha utilizado para la administración de servidores, incluyendo gestión de archivos y comunicaciones FTP/SFTP.

Ataques y vulnerabilidades

Las cadenas de ataque de UAT-7810 aprovechan vulnerabilidades conocidas en routers inalámbricos no parcheados, como CVE-2020-22653, CVE-2020-22658 y CVE-2023-25717. Las campañas observadas este año han destacado también la explotación de routers ASUS AiCloud, vulnerables a CVE-2025-2492, lo que sugiere intentos de ampliar aún más la red ORB.

Funcionalidades de LONGLEASH

ShortLeash incluye un backdoor que se comunica con un servidor externo, actuando tanto como un servidor command-and-control (C2) como cliente. Su sucesor, LONGLEASH, añade funciones avanzadas, lo que indica un ciclo activo de desarrollo. Algunas de las nuevas características incluyen:

- Un componente ejecutor que permite funciones de proxy utilizando protocolos HTTP, DNS, SOCKS, TCP, ICMP y UDP, gestiona conexiones de red y elimina el implante y sus rastros si se detectan intentos de manipulación. - Actúa como un servidor C2 intermedio para relatar comandos y datos del C2 principal a sus pares.

Los expertos de Talos han comentado que el uso de LEASHTEST muestra que, aunque UAT-7810 ha desarrollado LONGLEASH como un marco de backdoor completo, aún se encuentra en fase de prueba en plataformas MIPS, lo que indica que no tiene plena confianza en su comportamiento en estos dispositivos.

La amenaza de UAT-7810 y su malware LONGLEASH subraya la importancia de mantener actualizados los dispositivos de red y aplicar las mejores prácticas de seguridad para mitigar riesgos de ataques dirigidos.

Fuente

Ver noticia original