Cisco Talos araştırmacıları, Çin bağlantılı bir bilgisayar korsanlığı grubunun, siber saldırıları gizlemek için kullanılan ele geçirilmiş cihazlardan oluşan bir ağı yeni kötü amaçlı yazılımlarla genişlettiğini tespit etti. UAT-7810 olarak izlenen bu gelişmiş kalıcı tehdit (APT) grubu, diğer bilgisayar korsanlarının trafiğini yönlendirip kaynaklarını gizlemek için kiraladığı, ele geçirilmiş yönlendiriciler ve diğer cihazlardan oluşan Operasyonel Aktarma Kutusu (ORB) ağları kuruyor. Talos, UAT-7810'ın yüksek güvenle Çin bağlantılı bir grup olduğunu değerlendiriyor.
Şirket, UAT-7810'ın ilk olarak 2025'te ortaya çıkarılan LapDogs adlı uzun süredir devam eden bir ORB ağını yönettiğini ve bu grubun temel rolünün başkaları için altyapı inşa etmek olduğunu söyledi. Grup, yeterli sayıda cihazı sessizce ele geçirdikten sonra, diğer Çin bağlantılı APT grupları bu aktarma ağını kullanarak yüksek değerli hedeflere karşı casusluk faaliyetlerini gizleyebiliyor. Ağı büyütmek için grup, bilinen ancak yamalanmamış güvenlik açıklarını kullanarak uç cihazlara sızıyor; bu, kuruluşların güncellemeleri uygulamamasına dayanan düşük çaba gerektiren bir taktik.
Araştırmacılar, grubun 2025'ten beri Ruckus kablosuz yönlendiricilerindeki güvenlik açıklarını hedef aldığını ve bu yılın başlarında ASUS yönlendiricilerindeki bir hatayı da sömürmeye başladığını belirtti. LapDogs ORB ağı hakkında daha fazla bilgi: Çinli 'LapDogs' ORB Ağı ABD ve Asya'yı Hedef Alıyor. Talos, UAT-7810'ın daha önceki bir aracın evrimi olan LONGLEASH adlı yükseltilmiş bir arka kapı geliştirdiğini söyledi. Bu yeni araç, proxy özellikleri ekliyor ve hatta diğer enfekte makinelere komutlar iletebiliyor.
Nasıl Önlem Alınmalı?
Araştırmacılar ayrıca daha önce bilinmeyen iki arka kapı daha keşfetti: Linux cihazlarda komut çalıştıran DOGLEASH ve grubun sunucularını yönetmek için kullanılan Java tabanlı bir araç olan JARLEASH. JARLEASH için bir yapılandırma dosyası, Basitleştirilmiş Çince yorumlar içeriyordu; bu, Talos'a göre Çince konuşan operatörlere işaret ediyor. Ekip ayrıca MIPS tabanlı cihazları hedef alan bir test programı buldu; bu, grubun ağını oluşturan çeşitli donanımlar için araçlarını hala geliştirdiğinin bir işareti.
Bu bulgular, Talos'un grubun kötü amaçlı yazılımlarını ve sunucularını kendi takibinden elde edildi ve hala aktif oldukları belirtildi. UAT-7810'ın bu yeni araçları, siber güvenlik topluluğu için önemli bir tehdit oluşturuyor. Şirketlerin, özellikle Ruckus ve ASUS gibi markaların yönlendiricilerini kullananların, güvenlik yamalarını güncel tutmaları ve ağ trafiğini düzenli olarak izlemeleri öneriliyor.
Özetle, Çin bağlantılı APT grubu UAT-7810, yeni kötü amaçlı yazılımlar geliştirerek LapDogs ORB ağını genişletiyor ve bu ağ, diğer APT grupları tarafından kullanılmak üzere bir proxy altyapısı sağlıyor. Bu durum, küresel siber güvenlik için ciddi bir tehdit oluşturuyor ve şirketlerin savunma önlemlerini artırmaları gerekiyor.
Kaynak: infosecurity-magazine.com