Исследователи из Cisco Talos — Юнсу Ан, Ашир Малхотра, Ваня Свайцер и Брэндон Уайт — обнаружили новую волну активности группировки, которую они обозначили как UAT-7810. Это китайская APT-группа, занятая довольно специфической задачей: она не крадёт данные напрямую и не шифрует диски для выкупа. Она строит инфраструктуру — сеть из взломанных роутеров и других устройств, подключённых к интернету, которую в отрасли называют ORB-сетью (Operational Relay Box).
Смысл такой сети прост и от этого неприятен. Вместо того чтобы атаковать жертву напрямую со своих серверов, злоумышленники прогоняют трафик через цепочку скомпрометированных бытовых и корпоративных устройств — чужих роутеров, шлюзов, сетевых накопителей. След теряется, атрибуция усложняется, а настоящий источник атаки прячется за десятками промежуточных узлов, о существовании которых их владельцы даже не подозревают.
UAT-7810 отвечает за сеть под названием LapDogs, впервые обнаруженную в июне 2025 года. Судя по всему, задача группы — не столько атаковать конечные цели самостоятельно, сколько подготовить и поддерживать инфраструктуру для других, более специализированных группировок. Одна из них уже засветилась — UAT-5918, отдельный китайский актор, действующий как минимум с 2023 года. Она уже использовала мощности UAT-7810 в атаках на объекты критической инфраструктуры Тайваня, закрепляясь в сетях жертв на долгий срок.
Инструментарий UAT-7810 явно находится в стадии активной разработки. Начиналось всё с бэкдора ShortLeash — сравнительно простого инструмента, способного связываться с внешним сервером, поднимать веб-сервер и работать одновременно и как клиент, и как C2-сервер. Но группа не остановилась на достигнутом и выпустила куда более зрелую версию — LONGLEASH.
У LONGLEASH появился так называемый Executor — компонент, который позволяет проксировать трафик сразу через несколько протоколов: HTTP, DNS, SOCKS, TCP, ICMP и UDP. Это делает малварь гибкой в обходе фильтров и мониторинга сети. Кроме того, LONGLEASH умеет управлять соединениями с другими серверами, авторизовывать подключающихся клиентов и, что особенно любопытно, самоуничтожаться при обнаружении признаков вмешательства — удаляя имплант и все следы своего присутствия. Ещё одна деталь: инструмент может работать как промежуточный C2-сервер, ретранслируя команды и данные между основным управляющим сервером и соседними узлами сети — то есть сам становится звеном той самой цепочки-поводка.
Помимо LONGLEASH, исследователи нашли ещё три ранее не описанных инструмента. DOGLEASH — пассивный бэкдор, способный выполнять произвольный шелл-код на взломанных Linux-устройствах; для его развёртывания злоумышленники подняли как минимум четыре новых сервера с разными вариациями этой малвари. LEASHTEST — ELF-бинарник, нацеленный на встраиваемые устройства с архитектурой MIPS. Он тестирует базовые возможности вроде создания потоков, дочерних процессов и асинхронных таймеров. Само его существование говорит о том, что группа ещё не до конца уверена в стабильности LONGLEASH на MIPS-платформах, хотя формально этот бэкдор уже называют полноценным фреймворком. И наконец JARLEASH — бэкдор на Java, упакованный в JAR-файл, развёрнутый как минимум на одном из трёх исследованных серверов и используемый для административных задач: работы с файлами, FTP, SFTP и Netcat.
Точка входа в атаках вполне предсказуема — непропатченные уязвимости в сетевом оборудовании. Группа эксплуатирует три бага в беспроводных роутерах Ruckus: CVE-2020-22653, CVE-2020-22658 и CVE-2023-25717. Все три известны давно, патчи для них существуют, но, как обычно бывает с сетевым железом, обновляют его далеко не все и не всегда. Отдельно исследователи зафиксировали использование свежей уязвимости CVE-2025-2492 в роутерах ASUS с функцией AiCloud — эту кампанию заметили уже в этом году, что указывает на попытки группы расширить ORB-сеть за счёт нового класса устройств.
Картина складывается вполне определённая. UAT-7810 находится в режиме постоянного развития собственных инструментов — от ShortLeash до LONGLEASH — и параллельно разворачивает несколько узкоспециализированных программ под разные задачи: DOGLEASH для скрытого управления Linux-устройствами, LEASHTEST для обкатки на MIPS-архитектуре, JARLEASH для администрирования через Java. Сама модель ORB-сети позволяет делиться этой инфраструктурой с другими группировками вроде UAT-5918, которые уже нацеливаются на критическую инфраструктуру. А вектором проникновения по-прежнему остаются старые добрые непропатченные уязвимости в роутерах — то, что годами лежит на поверхности, но продолжает работать.
Смысл такой сети прост и от этого неприятен. Вместо того чтобы атаковать жертву напрямую со своих серверов, злоумышленники прогоняют трафик через цепочку скомпрометированных бытовых и корпоративных устройств — чужих роутеров, шлюзов, сетевых накопителей. След теряется, атрибуция усложняется, а настоящий источник атаки прячется за десятками промежуточных узлов, о существовании которых их владельцы даже не подозревают.
UAT-7810 отвечает за сеть под названием LapDogs, впервые обнаруженную в июне 2025 года. Судя по всему, задача группы — не столько атаковать конечные цели самостоятельно, сколько подготовить и поддерживать инфраструктуру для других, более специализированных группировок. Одна из них уже засветилась — UAT-5918, отдельный китайский актор, действующий как минимум с 2023 года. Она уже использовала мощности UAT-7810 в атаках на объекты критической инфраструктуры Тайваня, закрепляясь в сетях жертв на долгий срок.
Инструментарий UAT-7810 явно находится в стадии активной разработки. Начиналось всё с бэкдора ShortLeash — сравнительно простого инструмента, способного связываться с внешним сервером, поднимать веб-сервер и работать одновременно и как клиент, и как C2-сервер. Но группа не остановилась на достигнутом и выпустила куда более зрелую версию — LONGLEASH.
У LONGLEASH появился так называемый Executor — компонент, который позволяет проксировать трафик сразу через несколько протоколов: HTTP, DNS, SOCKS, TCP, ICMP и UDP. Это делает малварь гибкой в обходе фильтров и мониторинга сети. Кроме того, LONGLEASH умеет управлять соединениями с другими серверами, авторизовывать подключающихся клиентов и, что особенно любопытно, самоуничтожаться при обнаружении признаков вмешательства — удаляя имплант и все следы своего присутствия. Ещё одна деталь: инструмент может работать как промежуточный C2-сервер, ретранслируя команды и данные между основным управляющим сервером и соседними узлами сети — то есть сам становится звеном той самой цепочки-поводка.
Помимо LONGLEASH, исследователи нашли ещё три ранее не описанных инструмента. DOGLEASH — пассивный бэкдор, способный выполнять произвольный шелл-код на взломанных Linux-устройствах; для его развёртывания злоумышленники подняли как минимум четыре новых сервера с разными вариациями этой малвари. LEASHTEST — ELF-бинарник, нацеленный на встраиваемые устройства с архитектурой MIPS. Он тестирует базовые возможности вроде создания потоков, дочерних процессов и асинхронных таймеров. Само его существование говорит о том, что группа ещё не до конца уверена в стабильности LONGLEASH на MIPS-платформах, хотя формально этот бэкдор уже называют полноценным фреймворком. И наконец JARLEASH — бэкдор на Java, упакованный в JAR-файл, развёрнутый как минимум на одном из трёх исследованных серверов и используемый для административных задач: работы с файлами, FTP, SFTP и Netcat.
Точка входа в атаках вполне предсказуема — непропатченные уязвимости в сетевом оборудовании. Группа эксплуатирует три бага в беспроводных роутерах Ruckus: CVE-2020-22653, CVE-2020-22658 и CVE-2023-25717. Все три известны давно, патчи для них существуют, но, как обычно бывает с сетевым железом, обновляют его далеко не все и не всегда. Отдельно исследователи зафиксировали использование свежей уязвимости CVE-2025-2492 в роутерах ASUS с функцией AiCloud — эту кампанию заметили уже в этом году, что указывает на попытки группы расширить ORB-сеть за счёт нового класса устройств.
Картина складывается вполне определённая. UAT-7810 находится в режиме постоянного развития собственных инструментов — от ShortLeash до LONGLEASH — и параллельно разворачивает несколько узкоспециализированных программ под разные задачи: DOGLEASH для скрытого управления Linux-устройствами, LEASHTEST для обкатки на MIPS-архитектуре, JARLEASH для администрирования через Java. Сама модель ORB-сети позволяет делиться этой инфраструктурой с другими группировками вроде UAT-5918, которые уже нацеливаются на критическую инфраструктуру. А вектором проникновения по-прежнему остаются старые добрые непропатченные уязвимости в роутерах — то, что годами лежит на поверхности, но продолжает работать.