Onderzoekers van Cisco Talos waarschuwen dat een China-gelieerde advanced persistent threat (APT) groep, die een netwerk van operationele relaisboxen (ORB) inzet voor spionage, haar arsenaal aan malware uitbreidt met nieuwe backdoors. Deze campagne, die onder de naam LapDogs wordt gevolgd, heeft vorig jaar al meer dan 1.000 kleine kantoor- en thuisrouters geïnfecteerd met de ShortLeash backdoor, aldus een rapport van SecurityScorecard.
Talos, dat deze dreigingsactor volgt onder de naam UAT-7810, ontdekte recent een nieuwere variant van deze backdoor, LongLeash, naast twee andere malwarefamilies die door de APT worden ingezet: DogLeash en JarLeash. UAT-7810 richt zich voornamelijk op bekende kwetsbaarheden in Ruckus draadloze routers, waaronder CVE-2020-22653, CVE-2020-22658 en CVE-2023-25717. De malware ondersteunt meerdere architecturen zoals MIPS, ARM en x64.
Talos identificeerde drie IP-adressen die gekoppeld zijn aan VPS-instanties waar UAT-7810 payloads van downloadt, evenals vier nieuwe servers die worden gebruikt om kwaadaardige payloads zoals DogLeash en bijbehorende shellscripts te hosten. Eén van deze IP-adressen werd ook gebruikt bij aanvallen op Asus AiCloud-routers, vermoedelijk onderdeel van de ORB-campagne Operation WrtHug die in november 2025 openbaar werd gemaakt.
Volgens Talos levert UAT-7810 infrastructuur aan een andere China-gelieerde APT, UAT-5918. Hoewel de tooling van beide groepen overlapt, worden ze als aparte entiteiten gevolgd. De nieuwe LongLeash backdoor bouwt voort op de functionaliteiten van ShortLeash, zoals command-and-control communicatie, webserverhosting, tunnelbeheer en de mogelijkheid om zowel als C&C-server als client te functioneren. Deze backdoor is grotendeels gebaseerd op dezelfde codebasis, met toevoegingen uit de open source bibliotheken Nanopb en MbedTLS. LongLeash kan fungeren als een tussenliggende server die commando’s en data doorstuurt naar andere peers.
DogLeash is een in C geschreven passieve backdoor die via een shellscript wordt geïnstalleerd en iptables-regels toevoegt om TCP-verkeer naar een specifieke poort toe te staan. Op basis van commando’s van de C&C kan DogLeash opdrachten uitvoeren, bestanden lezen en hernoemen, de socketlistener sluiten, informatie over het besturingssysteem ophalen en code in het geheugen uitvoeren. JarLeash is een Java-gebaseerde backdoor die snelle toegang tot geïnfecteerde systemen biedt. Deze wordt ingezet met een script dat andere instanties van de backdoor beëindigt en vervolgens de Java-container start om de malware te laden. JarLeash kan ook op de interne infrastructuur van de APT worden ingezet en biedt een webgebaseerde bestandsbeheerinterface, FTP- en SFTP-servers, en een netcat-server op een opgegeven IP en poort.
Daarnaast werd LeashTest ontwikkeld, een binaire testtool voor de MIPS-architectuur. Hoewel deze tool op zichzelf niet kwaadaardig is, kan het een indicator van compromittering zijn. Talos merkt op dat het gebruik van LeashTest erop wijst dat UAT-7810 ondanks de ontwikkeling van LongLeash nog steeds functionaliteit op MIPS-platforms test en mogelijk nog niet volledig zeker is van het gedrag op deze apparaten.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *