'UAT-7810' olarak takip edilen Çinli bilgisayar korsanları, başta yama yapılmamış Ruckus yönlendiricileri olmak üzere internete yönelik ağ cihazlarını tehlikeye atarak Operasyonel Aktarma Kutusu (ORB) ağlarını genişletmek için kötü amaçlı yazılımlarını aktif olarak geliştiriyor.
Cisco Talos araştırmacılarına göre ORB ağı, UAT-5918 de dahil olmak üzere Çin'e uyumlu diğer gelişmiş kalıcı tehditler (APT'ler) için güvenli bir aktarım altyapısı görevi görüyor.
Daha önce Google Mandiant tarafından belgelenen bu tür altyapı, tehdit aktörlerinin ağ trafiğini bölgesel cihazlar aracılığıyla proxy olarak kullanmasına olanak tanıyarak tespitten kaçınmak ve ilişkilendirmeyi karmaşık hale getirmek için trafiğin meşru yerel altyapıdan geliyormuş gibi görünmesini sağlıyor.
Sonuç ve Değerlendirme
Talos analistleri, daha önce belgelenen SHORTLEASH arka kapısının yeni bir sürümü olan LONGLEASH, bir Linux arka kapısı olan DOGLEASH, bir yönetim aracı olan JARLEASH ve bir test aracı olan LEASHTEST dahil olmak üzere, kampanyada yeni kötü amaçlı yazılımlar tespit etti.
Önemli Gelişmeler
Araştırmacılar, UAT-7810'un ilk erişim elde etmek için öncelikle Ruckus yönlendiricilerindeki CVE-2020-22653, CVE-2020-22658 ve CVE-2023-25717 ile ASUS AiCloud yönlendiricilerindeki CVE-2025-2492 dahil olmak üzere bilinen (n-günlük) güvenlik açıklarından yararlandığını bildirdi.
Teknik Analiz
LONGLEASH kötü amaçlı yazılımı
Yeni keşfedilen LONGLEASH kötü amaçlı yazılımı, SHORTLEASH'in yükseltilmiş bir sürümüdür ve ilk olarak 2025 yılında SecurityScorecard tarafından belgelenmiştir ve yeteneklerini önemli ölçüde genişletmektedir.
Gelecekte Ne Bekleniyor?
Kötü amaçlı yazılım, komut ve kontrol (C2) iletişimlerini, web sunucusu barındırmayı, ağ tüneli yönetimini ve hem C2 sunucusu hem de istemci olarak çalışmayı destekleyen önceki sürümü temel alıyor.
Bunlara ek olarak Talos araştırmacıları artık aşağıdaki yetenekleri de gözlemledi:
Trafik yönlendirmeyle HTTP, DNS, SOCKS, TCP, ICMP ve UDP proxy oluşturma
Uzmanların Görüşleri
SMTP istemci/sunucu işlevselliği
Kurcalama veya başka şüpheli etkinlik tespit edildiğinde kendini kaldırma
Virüslü düğümler arasında komutları ve verileri ileten bir ara C2 sunucusu gibi davranabilme yeteneği
Nasıl Önlem Alınmalı?
DOGLEASH, JARLEASH ve LEASHTEST
Araştırmacılar, LONGLEASH'in yanı sıra, web kabuk komut dosyaları aracılığıyla dağıtılan hafif bir Linux arka kapısı olan DOGLEASH'ı da keşfettiler.
Başlatıldığında, dinleyen bir TCP bağlantı noktası açar ve sabit kodlanmış bir parola kullanarak gelen isteklerin kimliğini doğrular; kabuk komut yürütmeyi, dosya erişimini ve değiştirmeyi, işletim sistemi bilgilerinin alınmasını ve doğrudan ana bilgisayarın belleğinde rastgele kod yürütülmesini destekler.
Sistem Güvenliği
JARLEASH, web tabanlı dosya yönetimi sağlayan ve FTP, SFTP ve Netcat sunucu işlevselliğini içeren Java tabanlı bir yönetim aracıdır.
Detaylar ve Etkileri
Son olarak tehdit aktörleri, bir MIPS IoT cihazının kötü amaçlı yazılım işlemleriyle ilgili işlevleri gerçekleştirip gerçekleştiremeyeceğini doğrulamak için kullanılabilecek LEASHTEST'i geliştirdi ve muhtemelen LONGLEASH'in MIPS desteğini iyileştirmeye yardımcı olacak.
Cisco Talos, UAT-7810'un ORB altyapısını genişletmeye devam ettiği, SHORTLEASH'i aktif olarak daha yetenekli LONGLEASH ile değiştirip genişlettiği ve aynı zamanda araç setini yeni kötü amaçlı yazılımlarla genişlettiği sonucuna varmıştır.
UAT-7810 etkinliğiyle bağlantılı güvenlik ihlali göstergelerinin (IoC'ler) tam listesi ve en son araç seti, Cisco Talos'un raporunun alt kısmında mevcuttur.