uat 7810 longleash malware

I router diventano scudi per gli hacker: scoperto LongLeash, la nuova arma cinese per nascondere i cyberattacchi

🛡️ Executive Summary

  • Il gruppo UAT-7810 distribuisce il nuovo malware LongLeash per espandere la rete ORB sfruttando router vulnerabili esposti su Internet.
  • La piattaforma opera come infrastruttura di relay condivisa tra diversi gruppi APT cinesi, offrendo proxy multi-protocollo, shell remote e funzionalità C2 distribuite.
  • L’aggiornamento di router Ruckus e ASUS AiCloud, insieme al monitoraggio delle connessioni anomale, rappresenta la principale misura di mitigazione.

L’infrastruttura Operational Relay Box (ORB) continua a evolversi come uno degli strumenti più sofisticati impiegati dagli attori di minaccia legati alla Cina. Al centro di questa attività emerge UAT-7810, gruppo specializzato non tanto nella conduzione diretta di operazioni di cyber spionaggio, quanto nella costruzione e manutenzione di una rete distribuita di sistemi compromessi utilizzata da altri gruppi APT come piattaforma di appoggio. Le ultime analisi mostrano che il malware LongLeash rappresenta un’evoluzione significativa della precedente famiglia ShortLeash, introducendo nuove funzionalità che aumentano la resilienza della rete ORB e ne migliorano le capacità di relay. L’obiettivo non è colpire direttamente le vittime finali, ma fornire un’infrastruttura anonima attraverso cui altri attori possono lanciare campagne di intrusione, complicando l’attribuzione delle operazioni e rendendo più difficile il lavoro dei difensori.

UAT-7810 costruisce un’infrastruttura condivisa per gli APT cinesi

A differenza di molti gruppi di cyber spionaggio che sviluppano malware per colpire direttamente organizzazioni governative o aziende strategiche, UAT-7810 svolge un ruolo infrastrutturale. Il gruppo compromette router, dispositivi embedded e sistemi di rete esposti su Internet trasformandoli in nodi permanenti della rete ORB. Questi sistemi vengono successivamente utilizzati da altri gruppi di minaccia per instradare traffico, nascondere la provenienza degli attacchi e creare catene di relay distribuite su più Paesi. Un’infrastruttura di questo tipo offre numerosi vantaggi operativi: aumenta l’anonimato delle campagne offensive, rende più complessa l’analisi forense e permette agli attaccanti di sostituire rapidamente i nodi compromessi qualora vengano individuati o disattivati. La continua espansione della rete dimostra come gli operatori considerino ORB una risorsa strategica di lungo periodo piuttosto che un semplice insieme di sistemi compromessi.

LongLeash evolve il precedente malware ShortLeash

Annuncio

Il nuovo LongLeash, identificato internamente anche come ff-agent o nz1.0, rappresenta l’evoluzione diretta di ShortLeash, mantenendone l’architettura ma ampliandone sensibilmente le funzionalità. La variante destinata ai sistemi MIPS, molto diffusi nei router e nei dispositivi embedded, utilizza la libreria Boost.Asio per migliorare la gestione asincrona delle connessioni di rete, riducendo i blocchi durante l’elaborazione del traffico. LongLeash può operare come nodo Command and Control intermedio, ricevendo istruzioni dal server principale e inoltrandole ad altri dispositivi della rete ORB. Il malware integra inoltre reverse shell, proxy HTTP, SOCKS, TCP, UDP, DNS e ICMP, oltre a funzionalità SMTP, supporto TLS, infrastruttura PKI e meccanismi di autodistruzione che consentono di eliminare automaticamente il malware qualora vengano rilevati tentativi di analisi o manomissione del sistema compromesso. Questa modularità rende LongLeash uno strumento particolarmente adatto alla gestione di infrastrutture distribuite su larga scala.

DOGLEASH e JARLEASH completano il toolkit operativo

LongLeash non rappresenta l’unico componente utilizzato da UAT-7810. Le analisi hanno individuato anche DOGLEASH, una backdoor leggera sviluppata in C per sistemi Linux, capace di eseguire comandi arbitrari, manipolare file ed eseguire codice direttamente in memoria. L’installazione avviene normalmente tramite script shell che scaricano automaticamente il malware e modificano le regole iptables per garantirne il funzionamento. Un secondo componente, denominato JARLEASH, è invece realizzato in Java e viene utilizzato sia sui server controllati dagli attaccanti sia su alcuni sistemi compromessi. Offre funzioni di gestione remota dei file, server FTP, SFTP e strumenti simili a Netcat, risultando utile per amministrare l’infrastruttura senza ricorrere a software esterni. Il toolkit comprende anche LEASHTEST, applicazione utilizzata esclusivamente per verificare la compatibilità dei dispositivi embedded prima dell’installazione del malware definitivo.

Router vulnerabili e dispositivi embedded restano il bersaglio principale

Le campagne attribuite a UAT-7810 continuano a concentrarsi sui dispositivi di rete esposti direttamente su Internet. Il gruppo sfrutta principalmente vulnerabilità n-day, cioè falle già pubblicamente note ma ancora non corrette dagli amministratori. Tra gli obiettivi più frequenti figurano i router wireless Ruckus, compromessi attraverso exploit utilizzati sin dal 2025, ai quali si sono aggiunti i sistemi ASUS AiCloud vulnerabili alla CVE-2025-2492. Gli attaccanti distribuiscono versioni differenti del malware per architetture MIPS, ARM e x64, adattando automaticamente il payload al dispositivo individuato. Le comunicazioni vengono inoltre camuffate utilizzando certificati TLS con subject apparentemente legittimi e User-Agent che imitano browser Google Chrome, riducendo le probabilità di rilevamento durante l’analisi del traffico di rete.

La rete ORB rende più difficile attribuire gli attacchi

Il valore strategico della rete ORB non risiede tanto nel malware quanto nell’infrastruttura costruita nel tempo. Ogni router compromesso diventa un punto di transito utilizzato da gruppi differenti per lanciare campagne di spionaggio, intrusioni o raccolta di informazioni. In questo modo gli attaccanti evitano di comunicare direttamente con i sistemi delle vittime, facendo transitare il traffico attraverso numerosi relay distribuiti geograficamente. Questa architettura rende molto più complesso collegare un’operazione a uno specifico gruppo APT, aumentando i tempi necessari per l’analisi delle campagne e complicando il lavoro dei SOC e dei team di threat intelligence. La condivisione dell’infrastruttura tra più attori rappresenta inoltre un modello operativo sempre più diffuso, che riduce i costi di gestione e aumenta la resilienza dell’intero ecosistema offensivo.

Aggiornamenti e monitoraggio restano le difese più efficaci

L’attività osservata conferma ancora una volta come i dispositivi di rete rappresentino uno dei bersagli preferiti degli attori statali. Router, gateway e sistemi embedded rimangono spesso esposti su Internet per anni senza ricevere aggiornamenti di sicurezza, offrendo un terreno ideale per campagne come quelle di UAT-7810. Le organizzazioni dovrebbero verificare immediatamente la presenza delle patch per i dispositivi Ruckus e ASUS AiCloud, limitare l’esposizione delle interfacce di amministrazione e monitorare connessioni anomale verso protocolli SOCKS, HTTP, DNS e altri servizi proxy non autorizzati. Anche il controllo dei certificati TLS utilizzati nelle comunicazioni in uscita e l’analisi del traffico proveniente da router e apparati di rete possono contribuire a individuare precocemente eventuali compromissioni. La crescita continua della rete ORB dimostra che la sicurezza del perimetro non riguarda soltanto server e workstation, ma sempre più spesso anche l’infrastruttura di rete che collega l’intera organizzazione.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto