تم تعقب ممثل التهديد الصيني باسم UAT-7810 تعمل بنشاط على تحسين برامجها الضارة المخصصة لتوسيع شبكة Operational Relay Box (ORB) الخاصة بها عن طريق اقتحام أجهزة الشبكات التي تواجه الإنترنت.
وفقًا للنتائج التي توصلت إليها Cisco Talos، فإن UAT-7810 هو أحد التهديدات المستمرة المتقدمة (APT) المسؤولة عن الحفاظ على LapDogs ونشرها، وهي شبكة ORB ظهرت لأول مرة في يونيو 2025.
قال الباحثون Jungsoo An وAsheer Malhotra وVanja Svajcer وBrandon White: “من المرجح أن يكون UAT-7810 مكلفًا بإنشاء شبكات صندوق الترحيل التشغيلي (ORB) التي يمكن بعد ذلك الاستفادة منها من قبل جهات التهديد الثانوية المرتبطة بها للقيام بهجماتها الخبيثة ضد أهداف ذات قيمة عالية”.
أحد هذه الجهات الفاعلة في مجال تهديد العلاقة بين الصين والتي استفادت من البنية التحتية في هجماتها الخاصة هو UAT-5918، والذي تم ربطه بالهجمات السيبرانية التي تستهدف كيانات البنية التحتية الحيوية في تايوان منذ عام 2023 على الأقل بهدف إنشاء وصول مستمر داخل بيئات الضحايا.
تشير أحدث النتائج إلى أن UAT-7810 استمر في تطوير برامجه الضارة المخصصة التي يطلق عليها اسم ShortLeash مع إصدار أحدث يحمل الاسم الرمزي LONGLEASH. كما تم استخدام أداتين أخريين لم يتم الإبلاغ عنهما سابقًا من قبل جهة التهديد –
- DOGLEASH، وهو باب خلفي سلبي يمكنه تنفيذ تعليمات برمجية عشوائية على جهاز Linux مخترق
- LEASHTEST، ثنائي ELF يُستخدم لاختبار وظائف معينة، مثل إنشاء سلسلة محادثات، أو عملية فرعية، أو مؤقت غير متزامن، على الأجهزة المدمجة المستندة إلى MIPS
وأضاف الباحثون: “استخدم UAT-7810 أربعة خوادم جديدة على الأقل لاستضافة مجموعة متنوعة من الإصدارات البسيطة من DOGLEASH لنشرها ضد الأهداف المخترقة”. “تم أيضًا نشر باب خلفي إضافي قائم على Java (حزمة JAR) والذي نتتبعه باسم “JARLEASH” بواسطة UAT-7810 على واحد على الأقل من الخوادم الثلاثة لأغراض إدارية، بما في ذلك إدارة الملفات وFTP وSFTP وNetcat.”
ومن المعروف أن سلاسل الهجوم التي شنها طاقم القرصنة تستخدم نقاط الضعف المعروفة كسلاح في أجهزة توجيه Ruckus اللاسلكية غير المصححة، مثل CVE-2020-22653، وCVE-2020-22658، وCVE-2023-25717. وقد سلطت الحملات التي تمت ملاحظتها في وقت سابق من هذا العام الضوء أيضًا على أجهزة توجيه ASUS AiCloud المعرضة لـ CVE-2025-2492، مما يشير إلى المحاولات المحتملة لتوسيع شبكة ORB.

يشتمل ShortLeash على باب خلفي قادر على الاتصال بخادم خارجي، واستضافة خادم ويب، والعمل كخادم وعميل للتحكم والتحكم (C2). أما خليفته، LONGLEASH، فيحتوي على وظائف إضافية، مما يشير إلى دورة تطوير نشطة. بعض الميزات الأحدث مذكورة أدناه –
- مكون منفذ يمكّن وظائف الوكيل باستخدام بروتوكولات HTTP وDNS وSOCKS وTCP وICMP وUDP، ويدير اتصالات الشبكة بالخوادم الأخرى، ويأذن للعملاء، ويزيل الغرسة وجميع الآثار من الخادم في حالة اكتشاف أي محاولات تلاعب
- العمل كخادم C2 وسيط لنقل الأوامر والبيانات من C2 الأساسي وإعادة توجيهها إلى أقرانه
وقال تالوس: “يشير تطوير واستخدام LEASHTEST إلى أنه على الرغم من قيامهم بتطوير LONGLEASH، وهو إطار عمل خلفي كامل، فإن UAT-7810 لا يزال يختبر الوظائف بشكل نشط على منصات MIPS وقد لا يكون واثقًا تمامًا من سلوكه على أجهزة MIPS”.
