SOC Prime Bias: Crítico

08 Jul 2026 16:21 UTC

UAT-7810 continua construindo redes ORB usando novo malware

Author Photo
SOC Prime Team linkedin icon Seguir
UAT-7810 continua construindo redes ORB usando novo malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O grupo APT UAT-7810, associado à China, continua a expandir sua rede LapDogs Operational Relay Box com um conjunto de malware personalizado que inclui LONGLEASH, DOGLEASH e JARLEASH. O ator se concentra em dispositivos incorporados e hardware de rede para construir uma infraestrutura de proxy que pode ser utilizada posteriormente por atores de ameaça secundários. Estas operações dependem em parte da exploração de falhas conhecidas em equipamentos Ruckus e ASUS.

Investigação

A Cisco Talos examinou a infraestrutura e o malware vinculados ao UAT-7810 e identificou versões atualizadas de ferramentas anteriormente conhecidas, além de duas novas famílias de malware. A análise revelou o uso de nós VPS específicos e uma impressão digital personalizada de certificado TLS para o tráfego de comando e controle. Pesquisadores também conectaram a infraestrutura do ator a esforços destinados a estender a rede ORB para ambientes de roteadores ASUS AiCloud.

Mitigação

As organizações devem priorizar os patches nos roteadores sem fio Ruckus contra problemas conhecidos, como CVE-2020-22653, CVE-2020-22658, e CVE-2023-25717. Proteger os roteadores ASUS AiCloud contra CVE-2025-2492 também é essencial. A segmentação de rede que isola dispositivos IoT e incorporados pode reduzir ainda mais o risco de esses sistemas serem reutilizados como nós de retransmissão.

Resposta

Se os endereços IP identificados ou o nome interno ff-agent forem detectados, os respondedores de incidentes devem isolar imediatamente os dispositivos de rede afetados. A análise forense deve então verificar artefatos LEASHTEST ou scripts shell não autorizados. A telemetria de rede também deve ser revisada quanto à string de agente do usuário Chrome associada ao implante LONGLEASH.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa & Comandos de Ataque: O adversário obteve acesso inicial com sucesso ao alvo Linux por meio de uma vulnerabilidade na web (explorando CVE-2023-25717). Para estabelecer persistência e comando e controle (C2), eles baixam um backdoor especializado de sua infraestrutura. Seguindo os padrões da família de malware UAT-7810, o invasor nomeia o binário dropado LEASHTEST para se misturar com potenciais scripts de teste, mas a convenção de nomenclatura em si é uma assinatura deste ator de ameaça específico. O invasor então executa ./LEASHTEST para iniciar um shell reverso, o que deve acionar a regra de detecção com base no nome do processo.

  • Script de Teste de Regressão:

    #!/bin/bash
    # Script de simulação para Detecção de Nome de Processo de Malware UAT-7810
    
    echo "[+] Iniciando Simulação: Backdoor de Malware UAT-7810"
    
    # 1. Criar um binário dummy para simular o malware
    # Em um cenário real, este seria o arquivo ELF malicioso real.
    echo "#!/bin/bash" > LEASHTEST
    echo "echo 'Carga útil de Malware Simulada Executada'" >> LEASHTEST
    
    # 2. Tornar o arquivo executável
    chmod +x LEASHTEST
    
    # 3. Executar o 'malware' para acionar a regra de detecção
    echo "[+] Executando LEASHTEST..."
    ./LEASHTEST
    
    echo "[+] Comando de Simulação Concluído."
  • Comandos de Limpeza:

    # Limpar artefatos de simulação
    rm -f LEASHTEST
    echo "[+] Limpeza completa."