// 1 CRITICAL · 2 ZERO-DAY · 7 CVE · 5 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Cisco Talos rileva l'espansione della rete LapDogs ORB gestita dall'APT UAT-7810. Nuove famiglie malware e sfruttamento di vulnerabilità note in router Ruckus e ASUS.

L'APT UAT-7810, attore China-nexus tracciato da Cisco Talos, sta espandendo attivamente la rete LapDogs ORB (Operational Relay Box) con nuove famiglie malware e un'architettura di proxy multi-protocollo mai documentata in precedenza. Il 7 luglio 2026 Talos ha pubblicato l'analisi dell'evoluzione da SHORTLEASH a LONGLEASH, insieme all'identificazione di DOGLEASH, JARLEASH e LEASHTEST: cinque componenti che indicano la transizione da backdoor isolata a framework di infrastruttura malevola condivisa.

Punti chiave
  • UAT-7810 sviluppa LONGLEASH, evoluzione di SHORTLEASH, con capacità di proxy HTTP/DNS/SOCKS/TCP/ICMP/UDP e funzione di server C2 intermedio per attori secondari.
  • Il toolkit si amplia con DOGLEASH (backdoor C-based per shellcode arbitrario su Linux), JARLEASH (backdoor Java-based per amministrazione file/FTP/SFTP/Netcat) e LEASHTEST (binario di test non malevolo per piattaforme MIPS).
  • L'attore sfrutta vulnerabilità note con CVSS 9.8 in router Ruckus wireless (CVE-2020-22653, CVE-2020-22658, CVE-2023-25717) e ha esteso il targeting ad ASUS AiCloud tramite CVE-2025-2492.
  • Talos valuta con alta confidenza che UAT-7810 fornisca infrastruttura ORB ad altri APT China-nexus, incluso UAT-5918, che colpisce infrastrutture critiche a Taiwan.

Da SHORTLEASH a LONGLEASH: il framework di proxy network

LONGLEASH rappresenta non un semplice aggiornamento ma una ridesign architetturale. Internamente denominato "nz1.0" e derivante dal codice base "ff-agent" condiviso con SHORTLEASH, il malware si articola in tre componenti: Base, Executor e Core. L'Executor gestisce server proxy per HTTP, DNS, SOCKS, TCP, ICMP e UDP, oltre a packet redirection e tunnel; il Core si occupa di autorizzazione, serializzazione protobuf e funzioni SHA.

La scelta tecnologica rivela attenzione alla portabilità e alle performance su dispositivi con risorse limitate. LONGLEASH utilizza Boost.Asio in modalità asincrona, Nanopb per i protobuf binari, MbedTLS per il layer TLS e musl libc come libreria C. Il componente include User-Agent spoofing di Chrome 122 per fondersi nel traffico web standard. Questo profilo di build è coerente con l'obiettivo di operare su router embedded e dispositivi IoT senza compromettere la leggerezza.

La capacità di agire come "intermediate C2 server" — esplicitata da Talos — trasforma i dispositivi compromessi da terminali passivi a nodi attivi di un'infrastruttura distribuita. Il modello non è più l'accesso diretto alla vittima finale, ma la costruzione di strati intermedi che offrono anonimato e resilienza agli attori che li noleggiano.

DOGLEASH e JARLEASH: specializzazione operativa

Accanto a LONGLEASH, UAT-7810 ha sviluppato due famiglie con ruoli distinti. DOGLEASH è una backdoor in linguaggio C progettata per l'esecuzione di shellcode arbitrario su dispositivi Linux compromessi. I comandi 0x2268 e 0x2267 attivano rispettivamente l'esecuzione tramite /bin/sh -c, conferendo all'attore flessibilità nell'esecuzione di payload personalizzati senza dovere aggiornare il binario principale.

JARLEASH, sviluppata in Java, ha invece funzione amministrativa: gestione file, trasferimento FTP e SFTP, e capacità Netcat. I commenti di configurazione interni sono redatti in cinese semplificato, elemento che Talos registra come indicatore culturale riconoscibile. La scelta di Java per questo componente suggerisce deployment su server di amministrazione con runtime già disponibile, probabilmente distinti dai dispositivi edge target di DOGLEASH e LONGLEASH.

LEASHTEST completa il quadro come binario di test non malevolo per funzionalità rudimentali su dispositivi MIPS embedded. La sua presenza è significativa: come osserva Talos, "even though they have developed LONGLEASH, a full-fledged backdoor framework, UAT-7810 is still actively testing functionality on MIPS platforms and may not be completely confident of its behavior on MIPS devices". Questo indica che lo sviluppo è in corso e che il supporto multi-architettura non è ancora consolidato.

Le vulnerabilità sfruttate: da Ruckus ad ASUS

L'accesso iniziale si ottiene attraverso vulnerabilità note, non zero-day, in dispositivi di rete edge tipicamente esclusi dai cicli di patch aggressivi. Per i router Ruckus wireless, UAT-7810 sfrutta CVE-2020-22653, CVE-2020-22658 e CVE-2023-25717, tutte con punteggio CVSS 3.1 di 9.8 (CRITICAL) e vettore di attacco remoto non autenticato. CVE-2023-25717 riguarda in particolare RCE nel pannello di amministrazione di Ruckus Wireless Admin versioni fino alla 10.4.

L'espansione del target surface è documentata dall'esploitation di CVE-2025-2492, bypass di autenticazione nei router ASUS AiCloud delle serie 3.0.0.4_382, 386, 388 e 3.0.0.6_102. L'infrastruttura associata all'exploit include l'IP 217.15.164[.]147, già identificato tra i quattro nuovi server per il hosting di varianti DOGLEASH compilate per MIPS, ARM e x64. Talos qualifica cautamente il nesso: l'IP è stato utilizzato "to conduct exploitation of ASUS' AiCloud Routers in early 2026 — specifically CVE-2025-2492", ma non attribuisce direttamente e senza riserve questa attività a UAT-7810 rispetto a "an associated threat actor".

Il server TLS sulla porta 99 presenta un certificato auto-firmato con subject_dn in cui ogni campo — C, ST, L, O, OU, CN — contiene il valore "exploit". Il fingerprint SHA-256 è c2ab9adaba93ff094b8f3fc37d906014d870582039d276b7bd03e6fd583d8a15. Questo pattern di configurazione rudimentale ma riconoscibile è coerente con infrastrutture gestite da attori che privilegiano l'operatività rispetto all'opsec.

"UAT-7810 is most likely tasked with establishing Operational Relay Box (ORB) networks that can then be leveraged by associated secondary threat actors to conduct their own malicious attacks against high value targets."

Il modello economico-operativo: infrastruttura come servizio

La rivelazione centrale dell'analisi Talos riguarda non solo la tecnica, ma l'organizzazione del lavoro malevolo. UAT-7810 non sembra condurre attacchi diretti contro le vittime finali ad alto valore; piuttosto, costruisce e mantiene l'infrastruttura di relay che altri APT utilizzano per i propri obiettivi. Talos valuta con alta confidenza che "UAT-7810 is a China-nexus threat actor based on the infrastructure that it provides to secondary China-nexus APTs such as UAT-5918".

UAT-5918 è un attore separato, documentato in precedenza nell'attacco a infrastrutture critiche a Taiwan, con cui UAT-7810 condivide sovrapposizioni di tooling ma non identità operativa. Questa divisione del lavoro indica maturazione dell'ecosistema: un gruppo specializzato nella compromissione di massa e nella gestione di reti ORB, altri gruppi che acquistano o ricevono accesso per operazioni mirate. Il modello abbassa la soglia di accesso per attori meno capaci di sviluppare autonomamente infrastrutture C2 persistenti.

Perché è importante

Il dossier non specifica la dimensione esatta della rete ORB compromessa né l'identità di tutti gli "associated secondary threat actors" oltre a UAT-5918. Non emerge inoltre quando esattamente sia iniziato lo sviluppo di LONGLEASH rispetto alla timeline di SHORTLEASH, né se patch per le CVE sfruttate siano disponibili e in quale misura siano state applicate dalla base installata di router Ruckus e ASUS.

La fonte non chiarisce se CVE-2025-2492 sia stata sfruttata direttamente da UAT-7810 o da un attore associato; la formulazione di Talos mantiene questa distinzione aperta. Il testo estratto per LEASHTEST risulta incompleto, concludendosi con il frammento "3b", il che limita la comprensione piena delle funzionalità di test. Infine, non sono documentate misure correttive specifiche né indicazioni operative dal vendor per la rilevazione o la mitigazione.

Il dossier non fornisce dati sulla geolocalizzazione precisa delle vittime attuali oltre all'ubicazione dei server di infrastruttura. La natura dei dati esposti o trasmessi attraverso i relay ORB non è specificata.

L'espansione documentata da Talos indica che i dispositivi di rete edge — router wireless, sistemi embedded, piattaforme IoT — sono diventati vettori primari per infrastrutture di attacco persistenti e condivise. La commoditizzazione di reti ORB custom-built, con test di qualità inclusi e supporto multi-architettura, segnala un'industrializzazione che renderà più difficile l'attribuzione e il takedown. Per le organizzazioni, il perimetro di sicurezza tradizionale — endpoint e server — lascia fuori proprio i dispositivi che ora fungono da ponte per attacchi contro target ad alto valore.

Le informazioni sono basate sull'advisory citato e aggiornate al momento della pubblicazione.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. blog.talosintelligence.com
  2. nvd.nist.gov