SOC Prime Bias: Critico

08 Jul 2026 16:21 UTC

UAT-7810 continua a costruire reti ORB utilizzando nuovo malware

Author Photo
SOC Prime Team linkedin icon Segui
UAT-7810 continua a costruire reti ORB utilizzando nuovo malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Il gruppo APT collegato alla Cina UAT-7810 continua ad espandere la sua rete LapDogs Operational Relay Box con un toolkit di malware personalizzato che include LONGLEASH, DOGLEASH e JARLEASH. L’attore si concentra su dispositivi embedded e hardware di rete per costruire un’infrastruttura proxy che può essere successivamente utilizzata da attori di minacce secondari. Queste operazioni si basano in parte sull’uso di vulnerabilità note in apparecchiature Ruckus e ASUS.

Indagine

Cisco Talos ha esaminato l’infrastruttura e il malware associati a UAT-7810 e ha identificato versioni aggiornate di strumenti precedentemente conosciuti insieme a due nuove famiglie di malware. L’analisi ha rivelato l’uso di nodi VPS specifici e un’impronta digitale di certificato TLS personalizzata per il traffico di comando e controllo. I ricercatori hanno anche collegato l’infrastruttura dell’attore a sforzi mirati ad estendere la rete ORB negli ambienti router ASUS AiCloud.

Mitigazione

Le organizzazioni dovrebbero dare priorità all’aggiornamento dei router wireless Ruckus contro problemi noti come CVE-2020-22653, CVE-2020-22658, e CVE-2023-25717. Mettere in sicurezza i router ASUS AiCloud contro CVE-2025-2492 è anche essenziale. La segmentazione della rete che isola i dispositivi IoT ed embedded può inoltre ridurre il rischio che tali sistemi vengano riposizionati come nodi di inoltro.

Risposta

Se vengono rilevati gli indirizzi IP identificati o il nome interno ff-agent , i responder agli incidenti dovrebbero isolare immediatamente i dispositivi di rete coinvolti. L’analisi forense dovrebbe quindi verificare la presenza di artefatti LEASHTEST o script shell non autorizzati. La telemetria di rete dovrebbe essere anche rivista per la stringa user-agent di Chrome associata all’impiantimento LONGLEASH.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il controllo preliminare della telemetria e del baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa e Comandi dell’Attacco: L’avversario ha ottenuto con successo accesso iniziale al bersaglio Linux tramite una vulnerabilità web (sfruttando CVE-2023-25717). Per stabilire persistenza e comando e controllo (C2), scaricano una backdoor specializzata dalla loro infrastruttura. Seguendo i modelli della famiglia malware UAT-7810, l’attaccante nomina il binario rilasciato LEASHTEST per confondersi con potenziali script di test, ma la convenzione di denominazione stessa è una firma di questo attore di minacce specifico. L’attaccante esegue quindi ./LEASHTEST per iniziare una shell inversa, che dovrebbe attivare la regola di rilevamento basata sul nome del processo.

  • Script di Test di Regressione:

    #!/bin/bash
    # Script di simulazione per il rilevamento del nome del processo malware UAT-7810
    
    echo "[+] Inizio Simulazione: Backdoor Malware UAT-7810"
    
    # 1. Crea un binario fittizio per simulare il malware
    # In uno scenario reale, questo sarebbe il vero file ELF malevolo.
    echo "#!/bin/bash" > LEASHTEST
    echo "echo 'Carico utile del malware simulato eseguito'" >> LEASHTEST
    
    # 2. Rendi eseguibile il file
    chmod +x LEASHTEST
    
    # 3. Esegui il 'malware' per attivare la regola di rilevamento
    echo "[+] Esecuzione di LEASHTEST..."
    ./LEASHTEST
    
    echo "[+] Comando di Simulazione Completato."
  • Comandi di Pulizia:

    # Ripulire gli artefatti della simulazione
    rm -f LEASHTEST
    echo "[+] Pulizia completata."