SOC Prime Bias: Crítico

08 Jul 2026 16:21 UTC

UAT-7810 continúa construyendo redes ORB utilizando nuevo malware

Author Photo
SOC Prime Team linkedin icon Seguir
UAT-7810 continúa construyendo redes ORB utilizando nuevo malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El grupo APT vinculado a China UAT-7810 continúa expandiendo su red LapDogs Operational Relay Box con un kit de herramientas de malware personalizado que incluye LONGLEASH, DOGLEASH y JARLEASH. El actor se enfoca en dispositivos embebidos y hardware de redes para construir una infraestructura de proxy que posteriormente pueda ser utilizada por actores de amenazas secundarios. Estas operaciones dependen en parte de la explotación de fallos conocidos en equipos Ruckus y ASUS.

Investigación

Cisco Talos examinó la infraestructura y el malware vinculado a UAT-7810 e identificó versiones actualizadas de herramientas previamente conocidas junto con dos familias de malware completamente nuevas. El análisis reveló el uso de nodos VPS específicos y una huella dactilar personalizada de certificado TLS para el tráfico de comando y control. Los investigadores también conectaron la infraestructura del actor a esfuerzos dirigidos a extender la red ORB en entornos de enrutadores ASUS AiCloud.

Mitigación

Las organizaciones deben priorizar la corrección de los enrutadores inalámbricos Ruckus contra problemas conocidos como CVE-2020-22653, CVE-2020-22658, y CVE-2023-25717. Asegurar los enrutadores ASUS AiCloud contra CVE-2025-2492 también es esencial. La segmentación de la red que aísla dispositivos IoT y embebidos puede reducir aún más el riesgo de que esos sistemas sean reutilizados como nodos de retransmisión.

Respuesta

Si se detectan las direcciones IP identificadas o el nombre interno ff-agent , los respondedores de incidentes deben aislar inmediatamente los dispositivos de red afectados. El análisis forense debe entonces verificar artefactos LEASHTEST o scripts shell no autorizados. También se debe revisar la telemetría de la red buscando la cadena de user-agent de Chrome asociada con el implante LONGLEASH.

Flujo de ataque

Ejecución de Simulación

Requisito previo: El chequeo previo de telemetría y base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa del Ataque y Comandos: El adversario ha logrado obtener acceso inicial al objetivo Linux a través de una vulnerabilidad web (aprovechando CVE-2023-25717). Para establecer persistencia y control y comando (C2), descargan un backdoor especializado desde su infraestructura. Siguiendo los patrones de la familia de malware UAT-7810, el atacante nombra al binario descargado LEASHTEST para integrarse con potenciales scripts de pruebas, pero la convención de nomenclatura en sí es una firma de este actor de amenaza específico. Luego, el atacante ejecuta ./LEASHTEST para iniciar un shell inverso, lo cual debería activar la regla de detección basada en el nombre del proceso.

  • Script de Prueba de Regresión:

    #!/bin/bash
    # Script de simulación para la detección de nombre de proceso de malware UAT-7810
    
    echo "[+] Iniciando Simulación: Backdoor de Malware UAT-7810"
    
    # 1. Crear un binario ficticio para simular el malware
    # En un escenario real, este sería el archivo ELF malicioso real.
    echo "#!/bin/bash" > LEASHTEST
    echo "echo 'Carga Útil de Malware Simulado Ejecutada'" >> LEASHTEST
    
    # 2. Hacer el archivo ejecutable
    chmod +x LEASHTEST
    
    # 3. Ejecutar el 'malware' para activar la regla de detección
    echo "[+] Ejecutando LEASHTEST..."
    ./LEASHTEST
    
    echo "[+] Comando de Simulación Completado."
  • Comandos de Limpieza:

    # Limpiar los artefactos de simulación
    rm -f LEASHTEST
    echo "[+] Limpieza completa."