SOC Prime Bias: Kritisch

08 Jul 2026 16:21 UTC

UAT-7810 baut weiterhin ORB-Netzwerke mit neuer Malware

Author Photo
SOC Prime Team linkedin icon Folgen
UAT-7810 baut weiterhin ORB-Netzwerke mit neuer Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Die mit China verbundene APT-Gruppe UAT-7810 setzt die Expansion ihres LapDogs Operational Relay Box Netzwerks mit einem Toolkit aus maßgeschneiderter Malware fort, das LONGLEASH, DOGLEASH und JARLEASH umfasst. Der Akteur konzentriert sich auf eingebettete Geräte und Netzwerktechniken, um Proxy-Infrastruktur aufzubauen, die später von sekundären Bedrohungsakteuren genutzt werden kann. Diese Operationen stützen sich teilweise auf die Ausnutzung bekannter Schwachstellen in Ruckus- und ASUS-Geräten.

Untersuchung

Cisco Talos untersuchte die Infrastruktur und Malware, die mit UAT-7810 verbunden sind, und identifizierte aktualisierte Versionen von bereits bekannten Tools sowie zwei gänzlich neue Malware-Familien. Die Analyse zeigte die Nutzung spezifischer VPS-Knoten und eines maßgeschneiderten TLS-Zertifikats-Fingerabdrucks für den Befehl-und-Kontrollverkehr. Forscher verbanden auch die Infrastruktur des Akteurs mit Anstrengungen, das ORB-Netzwerk auf ASUS AiCloud Router-Umgebungen auszudehnen.

Abschwächung

Organisationen sollten die Patch-Verwaltung von Ruckus-Funkroutern gegen bekannte Probleme wie prioritär behandeln CVE-2020-22653, CVE-2020-22658, und CVE-2023-25717. Die Sicherung von ASUS AiCloud Routern gegen CVE-2025-2492 ist ebenfalls unerlässlich. Netzwerksegmentierung, die IoT und eingebettete Geräte isoliert, kann das Risiko weiter reduzieren, dass diese Systeme als Relay-Knoten umfunktioniert werden.

Reaktion

Wenn die identifizierten IP-Adressen oder der interne Name ff-agent erkannt werden, sollten Vorfallreaktionsteams die betroffenen Netzwerkgeräte sofort isolieren. In der forensischen Analyse sollte dann nach LEASHTEST-Artefakten oder unerlaubten Shell-Skripten gesucht werden. Netzwerk-Telemetrie sollte auch auf den Chrome-User-Agent-String überprüft werden, der mit dem LONGLEASH-Implantat assoziiert ist.

Angriffsablauf

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Baseline-Preflight-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt den genauen Ablauf der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Angreifer hat erfolgreich initialen Zugriff auf das Linux-Ziel über eine Webschwachstelle erlangt (Verwendung von CVE-2023-25717). Um Persistenz und Befehl-und-Kontrolle (C2) aufzubauen, lädt dieser eine spezialisierte Hintertür von seiner Infrastruktur herunter. Entsprechend den Mustern der UAT-7810-Malware-Familie benennt der Angreifer das abgelegt Binary LEASHTEST um sich in potenziellen Testscripten einzufügen, doch die Namenskonvention selbst ist ein Erkennungsmerkmal dieses spezifischen Bedrohungsakteurs. Der Angreifer führt dann ./LEASHTEST aus, um eine Reverse-Shell zu initiieren, was die Erkennungsregel aufgrund des Prozessnamens auslösen sollte.

  • Regressionstest-Skript:

    #!/bin/bash
    # Simulationsskript für UAT-7810 Malware Prozessnamen-Erkennung
    
    echo "[+] Starte Simulation: UAT-7810 Malware Hintertür"
    
    # 1. Erstelle ein Dummy-Binary, um die Malware zu simulieren
    # In einem realen Szenario wäre dies die tatsächliche bösartige ELF-Datei.
    echo "#!/bin/bash" > LEASHTEST
    echo "echo 'Simulierte Malware-Payload ausgeführt'" >> LEASHTEST
    
    # 2. Mache die Datei ausführbar
    chmod +x LEASHTEST
    
    # 3. Führe die 'Malware' aus, um die Erkennungsregel auszulösen
    echo "[+] Führe LEASHTEST aus..."
    ./LEASHTEST
    
    echo "[+] Simulationsbefehl abgeschlossen."
  • Aufräum-Befehle:

    # Reinigung der Simulationsartefakte
    rm -f LEASHTEST
    echo "[+] Aufräumen abgeschlossen."