Hackers chineses criam malware LONGLEASH para expandir rede ORB
8 de Julho de 2026 Atualizado em 8 de Julho de 2026

Um threat actor chinês monitorado como UAT-7810 está refinando ativamente seu malware personalizado para expandir sua rede de Operational Relay Box (ORB), invadindo dispositivos de rede expostos à internet, principalmente roteadores Ruckus sem patch.

Segundo uma análise da Cisco Talos, o UAT-7810 é um ator de ameaça persistente avançada (APT) responsável por manter e disseminar a LapDogs, uma rede ORB que veio à tona pela primeira vez em junho de 2025. Esse tipo de estrutura, já documentado anteriormente pelo Google Mandiant, permite que threat actors encaminhem seu tráfego de rede por meio de dispositivos regionais, fazendo com que a atividade pareça ter origem em uma infraestrutura local legítima. Isso ajuda a evitar a detecção e dificulta a atribuição.

“O UAT-7810 provavelmente tem a função de estabelecer redes de Operational Relay Box (ORB) que depois podem ser exploradas por outros threat actors associados para conduzir seus próprios ataques maliciosos contra alvos de alto valor”, afirmaram os pesquisadores Jungsoo An, Asheer Malhotra, Vanja Svajcer e Brandon White.

Um desses threat actors com ligação à China que já usou essa infraestrutura em seus próprios ataques é o UAT-5918, associado a ataques cibernéticos contra entidades de infraestrutura crítica em Taiwan desde pelo menos 2023, com o objetivo de obter acesso persistente aos ambientes das vítimas.

Os analistas da Talos identificaram novos malware na campanha, incluindo LONGLEASH, uma nova versão do backdoor SHORTLEASH, já documentado, além de DOGLEASH, um backdoor passivo para Linux, JARLEASH, uma ferramenta administrativa, e LEASHTEST, um utilitário de teste. As descobertas mais recentes indicam que o UAT-7810 continuou desenvolvendo seu malware personalizado, batizado de ShortLeash, e passou a usar uma versão mais nova, codinome LONGLEASH.

Os pesquisadores relatam que o UAT-7810 explora principalmente vulnerabilidades conhecidas, do tipo n-day, para obter acesso inicial. Entre elas estão CVE-2020-22653 , CVE-2020-22658 e CVE-2023-25717 , em roteadores wireless da Ruckus, além de CVE-2025-2492 , em roteadores ASUS AiCloud. Campanhas observadas no início deste ano também miraram roteadores ASUS AiCloud vulneráveis à CVE-2025-2492 , o que indica uma possível tentativa de ampliar a rede ORB.

O malware SHORTLEASH, identificado pela primeira vez pela SecurityScorecard em 2025, já oferecia comunicação com command and control (C2), hospedagem de servidor web, gerenciamento de túneis de rede e operação tanto como servidor quanto como cliente C2. Seu sucessor, LONGLEASH, traz funcionalidades adicionais, o que aponta para um ciclo ativo de desenvolvimento.

Entre os recursos mais recentes estão um shell reverso, proxy para HTTP, DNS, SOCKS, TCP, ICMP e UDP com redirecionamento de tráfego, funcionalidade de cliente e servidor SMTP, suporte a TLS e PKI, autodesinstalação quando adulteração ou outra atividade suspeita é detectada e a capacidade de atuar como servidor C2 intermediário, encaminhando comandos e dados entre nós infectados.

Além do LONGLEASH, os pesquisadores também descobriram o DOGLEASH, um backdoor passivo leve para Linux distribuído por meio de scripts de web shell. “O UAT-7810 usou pelo menos quatro novos servidores para hospedar uma variedade de pequenas variações do DOGLEASH e implantá-las contra alvos comprometidos”, acrescentaram os pesquisadores. Ao ser executado, o malware abre uma porta TCP de escuta e autentica as requisições recebidas com uma senha hardcoded. Ele permite executar comandos de shell, acessar e modificar arquivos, coletar informações do sistema operacional e executar código arbitrário diretamente na memória do host.

O JARLEASH é uma ferramenta administrativa baseada em Java, empacotada como JAR, que oferece gerenciamento de arquivos via web e inclui funcionalidades de servidor FTP, SFTP e Netcat. “Um backdoor adicional baseado em Java, empacotado como JAR, que acompanhamos como JARLEASH, também foi implantado pelo UAT-7810 em pelo menos um dos três servidores para fins de administração, incluindo gerenciamento de arquivos, FTP, SFTP e Netcat.”

Por fim, os threat actors desenvolveram o LEASHTEST, um binário ELF usado para testar funcionalidades específicas, como criação de thread, de processo filho ou de temporizador assíncrono, em dispositivos embarcados baseados em MIPS. A ferramenta provavelmente foi criada para ajudar a refinar o suporte do LONGLEASH a MIPS. “O desenvolvimento e o uso do LEASHTEST mostram que, mesmo tendo criado o LONGLEASH, um framework de backdoor completo, o UAT-7810 continua testando ativamente funcionalidades em plataformas MIPS e talvez ainda não esteja totalmente confiante no comportamento dele em dispositivos MIPS”, disse a Talos.

A Cisco Talos conclui que o UAT-7810 continua expandindo sua infraestrutura ORB, substituindo ou estendendo ativamente o SHORTLEASH pelo mais capaz LONGLEASH, ao mesmo tempo em que amplia seu arsenal com novos malware.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...