Siber güvenlik araştırmacıları, Çin bağlantılı UAT-7810 kod adlı tehdit aktörünün, internet bağlantılı ağ cihazlarına sızarak ORB (Operational Relay Box) ağını genişletmek için özel geliştirdiği kötü amaçlı yazılımları sürekli olarak iyileştirdiğini tespit etti. Cisco Talos tarafından yayınlanan rapora göre, UAT-7810, LapDogs olarak bilinen ORB ağını yöneten ve yayan gelişmiş kalıcı tehdit (APT) aktörüdür. LapDogs ağı ilk olarak Haziran 2025'te gün yüzüne çıkmıştı.
Araştırmacılar Jungsoo An, Asheer Malhotra, Vanja Svajcer ve Brandon White, UAT-7810'ın muhtemelen ORB ağları kurmakla görevlendirildiğini ve bu ağların daha sonra ikincil tehdit aktörleri tarafından yüksek değerli hedeflere karşı saldırılar düzenlemek için kullanılabileceğini belirtti. Bu tür ikincil aktörlerden biri olan UAT-5918, en az 2023'ten beri Tayvan'daki kritik altyapı kuruluşlarını hedef alan siber saldırılarla ilişkilendiriliyor. UAT-5918, kurban ortamlarında kalıcı erişim sağlamak amacıyla bu altyapıyı kullanıyor.
Cisco Talos'un son bulguları, UAT-7810'ın ShortLeash olarak bilinen özel kötü amaçlı yazılımını geliştirmeye devam ettiğini ve LONGLEASH kod adlı yeni bir sürümünü kullanıma sunduğunu gösteriyor. Ayrıca tehdit aktörü, daha önce rapor edilmemiş iki araç daha kullanıyor: DOGLEASH ve LEASHTEST. DOGLEASH, Linux cihazlarda rastgele shellcode çalıştırabilen pasif bir arka kapı; LEASHTEST ise MIPS tabanlı gömülü cihazlarda iş parçacığı oluşturma, alt süreç başlatma veya asenkron zamanlayıcı gibi belirli işlevleri test etmek için kullanılan bir ELF ikili dosyası.
Araştırmacılar, UAT-7810'ın DOGLEASH'ın çeşitli varyasyonlarını barındırmak için en az dört yeni sunucu kullandığını ve bunları hedef cihazlara dağıttığını belirtti. Ayrıca, üç sunucudan en az birinde yönetim amacıyla JARLEASH olarak izlenen Java tabanlı bir arka kapı (JAR paketi) tespit edildi. Bu arka kapı, dosya yönetimi, FTP, SFTP ve Netcat gibi işlevleri içeriyor.
Saldırı zincirlerinde, yamasız Ruckus kablosuz yönlendiricilerindeki bilinen güvenlik açıkları (CVE-2020-22653, CVE-2020-22658, CVE-2023-25717) silah haline getiriliyor. Bu yılın başlarında gözlemlenen kampanyalarda ayrıca CVE-2025-2492'ye duyarlı ASUS AiCloud yönlendiricileri de hedef alındı. Bu durum, ORB ağını genişletme girişimlerine işaret ediyor.
ShortLeash, harici bir sunucuyla iletişim kurabilen, bir web sunucusu barındırabilen ve hem komuta-kontrol (C2) sunucusu hem de istemcisi olarak işlev görebilen bir arka kapı içeriyor. Halefi LONGLEASH ise ek işlevlerle donatılmış durumda. Yeni özellikler arasında HTTP, DNS, SOCKS, TCP, ICMP ve UDP protokollerini kullanarak proxy işlevleri sağlayan bir yürütücü bileşen, diğer sunuculara ağ bağlantılarını yönetme, istemcileri yetkilendirme ve herhangi bir kurcalama girişimi tespit edildiğinde implantı ve tüm izlerini sunucudan silme yeteneği bulunuyor. Ayrıca, ana C2'den gelen komutları ve verileri aktarmak için bir ara C2 sunucusu olarak da görev yapabiliyor.
Cisco Talos, LEASHTEST'in geliştirilmesi ve kullanımının, UAT-7810'ın tam teşekküllü bir arka kapı çerçevesi olan LONGLEASH'i geliştirmiş olmasına rağmen, MIPS platformlarında işlevselliği aktif olarak test ettiğini ve MIPS cihazlarındaki davranışından tam olarak emin olmadığını gösterdiğini belirtti. Bu durum, tehdit aktörünün sürekli gelişim ve test sürecinde olduğunu ortaya koyuyor.
Uzmanların Görüşleri
UAT-7810'ın faaliyetleri, Çin bağlantılı APT gruplarının ORB ağlarına verdiği önemi ve bu ağları hedef sistemlere sızmak için nasıl kullandıklarını gözler önüne seriyor. Kuruluşların, özellikle Ruckus ve ASUS gibi ağ cihazlarındaki güvenlik açıklarını kapatmak için güncellemeleri takip etmeleri ve ağ trafiğini şüpheli etkinliklere karşı izlemeleri kritik önem taşıyor.
Kaynak: thehackernews.com