Cisco Talos araştırmacıları, Çin bağlantılı gelişmiş kalıcı tehdit (APT) aktörü UAT-7810'ın, casusluk amaçlı bir operasyonel röle kutusu (ORB) ağı kurmak için yeni arka kapılar geliştirdiğini duyurdu. SecurityScorecard'ın geçen yıl raporladığı LapDogs kampanyası kapsamında, bu APT grubu 1.000'den fazla küçük ofis/ev ofisi (SOHO) yönlendiricisine ShortLeash arka kapısını bulaştırmıştı. Şimdi ise Talos, grubun daha yeni bir sürüm olan LongLeash ve iki yeni kötü amaçlı yazılım ailesi DogLeash ile JarLeash'ı kullandığını tespit etti.
UAT-7810, özellikle Ruckus kablosuz yönlendiricilerindeki CVE-2020-22653, CVE-2020-22658 ve CVE-2023-25717 gibi bilinen güvenlik açıklarını hedef alıyor. Saldırılarda MIPS, ARM ve x64 gibi birden fazla mimari için yükler kullanılıyor. Talos, grubun yükleri indirmek için kullandığı üç VPS örneği IP adresi ve DogLeash ile shell scriptlerini barındıran dört yeni sunucu tespit etti. Ayrıca, bu IP'lerden birinin Asus AiCloud yönlendiricilerine yönelik saldırılarda da kullanıldığı, bunun da Kasım 2025'te detaylandırılan Operation WrtHug kampanyasının bir parçası olduğu belirtiliyor.
Talos'a göre UAT-7810, başka bir Çin bağlantılı APT olan UAT-5918'e altyapı sağlıyor. İki grup arasında araç seti örtüşmesi olsa da ayrı tehdit aktörleri olarak izleniyorlar. Yeni tespit edilen LongLeash arka kapısı, ShortLeash'teki komuta ve kontrol (C&C) iletişimi, web sunucusu barındırma, tünel yönetimi ve hem C&C hem de istemci olarak çalışabilme gibi işlevleri geliştiriyor. Aynı kod tabanı üzerine inşa edilen LongLeash, Nanopb ve MbedTLS açık kaynak kütüphanelerinden de kod içeriyor. Bu arka kapı, ara sunucu olarak çalışarak C&C'den aldığı komutları ve verileri diğer eşlere iletebiliyor.
Sonuç ve Değerlendirme
DogLeash, C tabanlı pasif bir arka kapı olup bir shell scripti aracılığıyla dağıtılıyor. Script, DogLeash'in bağlanıp dinlediği bir porta TCP trafiğine izin veren iptables kuralları ekliyor. C&C'den alınan koda göre arka kapı; komut çalıştırma, dosya okuma, dosya yeniden adlandırma, soket dinleyiciyi kapatma, işletim sistemi bilgisi alma ve bellekte kod çalıştırma gibi işlemleri gerçekleştirebiliyor. JarLeash ise Java tabanlı bir arka kapı olup UAT-7810'a ele geçirilen sistemlere kolay erişim sağlıyor. Diğer arka kapı örneklerini öldüren bir scriptle birlikte kullanılan JarLeash, Java konteynerini başlatarak kötü amaçlı yazılımı dağıtıyor. Ayrıca APT'nin dahili altyapısında da kullanılabiliyor.
Gelecekte Ne Bekleniyor?
JarLeash, web tabanlı bir dosya yönetim arayüzü, FTP ve SFTP sunucuları barındırabiliyor ve belirtilen bir IP ve portta netcat sunucusu çalıştırabiliyor. UAT-7810 ayrıca, MIPS platformunda işlevselliği test eden ve tek başına kötü amaçlı olmayan ancak tehlike göstergesi (IoC) olarak kullanılabilen LeashTest adlı bir ikili dosya geliştirdi. Talos, 'LeashTest'in geliştirilmesi ve kullanılması, UAT-7810'ın LongLeash gibi tam teşekküllü bir arka kapı çerçevesi geliştirmiş olmasına rağmen, MIPS platformlarında hala aktif olarak işlevsellik testi yaptığını ve MIPS cihazlarındaki davranışından tam olarak emin olmadığını gösteriyor' diye belirtiyor.
Bu gelişmeler, Çin bağlantılı APT gruplarının siber casusluk faaliyetlerini sürdürmek için sürekli olarak yeni araçlar geliştirdiğini ve altyapılarını genişlettiğini ortaya koyuyor. Özellikle SOHO yönlendiriciler gibi yaygın ve genellikle güncellemesi ihmal edilen cihazların hedef alınması, kurumların ve bireylerin güvenlik yamalarını düzenli olarak uygulamasının önemini bir kez daha vurguluyor. Ayrıca, bu tür tehditlerin tespiti için ağ trafiğinin izlenmesi ve bilinen göstergelerin (IoC) takip edilmesi kritik öneme sahip.
Kaynak: securityweek.com