
Los actores de amenazas chinos, rastreados como UAT-7810, están refinando activamente malware personalizado para infiltrarse en dispositivos de red conectados a Internet y ampliar las redes de cajas de retransmisión operativa (ORB).
Según los hallazgos de Cisco Talos, UAT-7810 es un actor de amenaza persistente avanzada (APT) responsable de mantener y propagar LapDogs, una red ORB revelada por primera vez en junio de 2025.
«Es probable que el UAT-7810 tenga la tarea de establecer una red Operational Relay Box (ORB) que los actores de amenazas secundarios asociados puedan usar para llevar a cabo sus propios ataques maliciosos contra objetivos de alto valor», dijeron los investigadores Jungsoo An, Asheer Malhotra, Vanja Svajcer y Brandon White.
Uno de esos actores de amenazas vinculados a China que ha explotado la infraestructura con sus propios ataques es el UAT-5918. Esto está relacionado con los ciberataques que se han dirigido a entidades de infraestructura crítica en Taiwán desde al menos 2023, con el objetivo de establecer un acceso persistente dentro del entorno de la víctima.
Los últimos hallazgos indican que UAT-7810 continúa desarrollando un malware personalizado llamado ShortLeash y está desarrollando una nueva versión con el nombre en código LONGLEASH. Los actores de amenazas también están utilizando otras dos herramientas no denunciadas anteriormente.
DOGLEASH, una puerta trasera pasiva que puede ejecutar shellcode arbitrario en un dispositivo Linux comprometido LASHTEST, un binario ELF utilizado para probar funcionalidades específicas como la creación de subprocesos, procesos secundarios y temporizadores asíncronos en dispositivos integrados basados en MIPS
«UAT-7810 utilizó al menos cuatro servidores nuevos para alojar varias variaciones menores de DOGLEASH para implementar contra objetivos comprometidos», agregaron los investigadores. «UAT-7810 también implementó una puerta trasera adicional basada en Java (paquete JAR), rastreada como ‘JARLEASH’, en al menos uno de los tres servidores para fines administrativos, como gestión de archivos, FTP, SFTP y Netcat».
Se sabe que la cadena de ataque lanzada por Hacking Team utiliza vulnerabilidades conocidas en enrutadores inalámbricos Ruckus sin parches, incluidos CVE-2020-22653, CVE-2020-22658 y CVE-2023-25717. Una campaña observada a principios de este año también identificó enrutadores ASUS AiCloud susceptibles a CVE-2025-2492, lo que indica un posible intento de expandir la red ORB.

ShortLeash incluye una puerta trasera que le permite conectarse a servidores externos, alojar un servidor web y actuar como servidor y cliente de comando y control (C2). Su sucesor, LONGLEASH, incorpora características adicionales y exhibe un ciclo de desarrollo activo. Algunas de las nuevas características se enumeran a continuación.
Un componente ejecutor que habilita la funcionalidad de proxy mediante los protocolos HTTP, DNS, SOCKS, TCP, ICMP y UDP, administra conexiones de red a otros servidores, autentica clientes y elimina el implante y todos los rastros del servidor si se detecta un intento de manipulación. Actúa como un servidor C2 intermedio que transmite comandos y datos desde el C2 primario y los reenvía a sus pares.
«El desarrollo y uso de LEASHTEST indica que a pesar de desarrollar LONGLEASH, un marco de puerta trasera completo, UAT-7810 todavía está probando activamente su funcionalidad en plataformas MIPS y es posible que no tenga plena confianza en su funcionamiento en dispositivos MIPS», dijo Talos.
Source link
