Chinesische UAT-7810 erweitert verdecktes ORB-Netzwerk über das Internet der Dinge
2026-07-08 13:57
Merken

de.wedoany.com-Bericht: Ein chinesischer Bedrohungsakteur mit dem Codenamen UAT-7810 erweitert kontinuierlich sein Schadsoftware-Toolset, um ein Netzwerk von Relay-Proxys (ORB) zu vergrößern, das auf kompromittierten Routern und IoT-Geräten basiert. Ein am 7. Juli 2026 von Cisco Talos veröffentlichter Forschungsbericht weist darauf hin, dass die Gruppe von der zuvor entdeckten Hintertür SHORTLEASH auf die leistungsstärkere Variante LONGLEASH aufgerüstet und neue Tools wie DOGLEASH, JARLEASH sowie ein Testwerkzeug namens LEASHTEST hinzugefügt hat.

Chinesische UAT-7810 erweitert verdecktes ORB-Netzwerk über das Internet der Dinge

Das ORB-Netzwerk wird als Mischung aus traditioneller VPN-Struktur und Botnetz beschrieben. Organisationen wie Team Cymru und Mandiant haben solche Infrastrukturen bereits umfassend dokumentiert. Angreifer leiten Datenverkehr über scheinbar normale Geräte in der Region, um die wahre Quelle ihrer Aktivitäten zu verschleiern. Untersuchungen von Mandiant zeigen, dass chinesische APT-Akteure seit mindestens 2024 zunehmend auf diese verteilten Proxy-Netzwerke zurückgreifen und kompromittierte virtuelle private Server, IoT-Geräte und SOHO-Router nutzen, um Command-and-Control-Pfade zu verbergen. Cisco Talos weist darauf hin, dass UAT-7810 mehrere bekannte Schwachstellen ausnutzt, darunter CVE-2020-22653, CVE-2020-22658 und CVE-2023-25717 in Ruckus-Routern sowie CVE-2025-2492 in Asus AiCloud-Geräten. Es handelt sich um bekannte Schwachstellen, nicht um Zero-Day-Lücken, was das weit verbreitete Problem ungepatchter, internetfähiger Geräte unterstreicht.

Die neu entdeckte Hintertür LONGLEASH erweitert die Fähigkeiten im Vergleich zu der ursprünglichen, von SecurityScorecard im Jahr 2025 dokumentierten SHORTLEASH erheblich. Die Schadsoftware unterstützt nun Reverse Shells sowie Multi-Protocol-Proxys über HTTP, DNS, SOCKS, TCP, ICMP und UDP. Sie verfügt über SMTP-Client- und Serverfunktionen und unterstützt TLS und PKI. Sie kann sich bei Erkennung von Manipulationen oder verdächtigen Aktivitäten selbst löschen, Tunnel verwalten und als zwischengeschalteter Command-and-Control-Knoten fungieren, indem sie Befehle und Daten zwischen infizierten Geräten weiterleitet. Das Tool spielt eine Rolle im breiteren Spionage-Ökosystem und trägt zur Schaffung einer Netzstruktur bei, über die andere chinesische APTs (einschließlich UAT-5918) ihren Datenverkehr leiten können.

DOGLEASH und JARLEASH zeigen den modularen Ansatz von UAT-7810. DOGLEASH ist eine leichte Linux-Hintertür, die über ein Web-Shell-Skript bereitgestellt wird. Sie öffnet einen lauschenden TCP-Port und authentifiziert eingehende Anfragen mit einem hartcodierten Passwort. Sie unterstützt Shell-Befehlsausführung, Dateizugriff und die Ausführung von beliebigem Code im Arbeitsspeicher. JARLEASH ist ein Java-basiertes Verwaltungstool, das webbasierte Dateiverwaltung sowie FTP-, SFTP- und Netcat-Serverfunktionen bietet. LEASHTEST konzentriert sich auf die Überprüfung, ob MIPS-IoT-Geräte Funktionen im Zusammenhang mit dem Betrieb von Schadsoftware ausführen können, was darauf hindeutet, dass Angreifer vor der großflächigen Bereitstellung neuer Tools routinemäßig Hardware-Einschränkungen testen.

Branchenanalysten beobachten diesen taktischen Wandel seit langem. Die IEEE-Community (Institute of Electrical and Electronics Engineers) hat wiederholt die Risiken nicht verwalteter Edge-Geräte diskutiert, insbesondere da günstige (Heim-)Router und IP-Kameras weiterhin mit veralteter Firmware ausgeliefert werden. Gartner weist in seiner Abdeckung des Sicherheitsbetriebs darauf hin, dass eine verteilte Command-Infrastruktur Organisationen oft dazu zwingt, ihre Überwachung des Ost-West-Datenverkehrs in der Umgebung zu überdenken. Das GAO (Government Accountability Office) stellt in seiner laufenden Überprüfung der Cybersicherheitsbereitschaft des Bundes fest, dass Behörden manchmal Schwierigkeiten haben, eine genaue Bestandsaufnahme vernetzter Geräte zu führen, was zu blinden Flecken führen kann.

Die Analyse von Cisco Talos betont, dass UAT-7810 stark auf bekannte Schwachstellen angewiesen ist. Patch-Zeitpläne und Asset-Inventare bestimmen auf sehr praktische Weise das Ausmaß der Gefährdung. Die berichteten Fähigkeiten stimmen mit Frameworks wie dem NIST Cybersecurity Framework (National Institute of Standards and Technology) und der MITRE ATT&CK-Matrix überein. ORB-Netzwerke fallen in der ATT&CK-Technik unter eine Mischung aus Command and Control, Proxys und der Nutzung kompromittierter Infrastruktur.

Cisco Talos fasst zusammen, dass UAT-7810 aktiv seine alten SHORTLEASH-Installationen durch LONGLEASH ersetzt oder erweitert, während es gleichzeitig die Gesamtreichweite durch die Kompromittierung von Geräten über n-Day-Schwachstellen vergrößert. Die Bewertung der Gruppe spiegelt eine neue Normalität wider: Spionageakteure investieren nicht nur in Eindringwerkzeuge, sondern auch in eine dauerhafte Infrastruktur, die darauf ausgelegt ist, Zerschlagungsversuchen standzuhalten.

Diese Kurznachricht stammt aus der Übersetzung und Weiterverbreitung von Informationen aus dem globalen Internet und von strategischen Partnern. Sie dient lediglich dem Austausch mit den Lesern. Bei Urheberrechtsverletzungen oder anderen Problemen bitten wir um rechtzeitige Mitteilung, und wir werden die notwendigen Änderungen oder Löschungen vornehmen. Die Weitergabe dieses Artikels ist ausdrücklich ohne formelle Genehmigung verboten.E-Mail: news@wedoany.com