Scroll untuk baca artikel
Networking

Peretas Tiongkok mengembangkan malware LONGLEASH untuk memperluas jaringan ORB

4
×

Peretas Tiongkok mengembangkan malware LONGLEASH untuk memperluas jaringan ORB

Share this article
peretas-tiongkok-mengembangkan-malware-longleash-untuk-memperluas-jaringan-orb
Peretas Tiongkok mengembangkan malware LONGLEASH untuk memperluas jaringan ORB

Cina

Peretas Tiongkok yang dilacak sebagai ‘UAT-7810’ secara aktif mengembangkan malware mereka untuk memperluas jaringan Operational Relay Box (ORB) mereka dengan menyusupi perangkat jaringan yang terhubung ke internet, terutama router Ruckus yang belum ditambal.

Example 300x600

Menurut peneliti Cisco Talos, jaringan ORB berfungsi sebagai infrastruktur relay yang aman untuk ancaman persisten tingkat lanjut (APT) lainnya yang selaras dengan Tiongkok, termasuk UAT-5918.

Jenis infrastruktur ini, yang sebelumnya didokumentasikan oleh Google Mandiantmemungkinkan pelaku ancaman untuk mem-proxy lalu lintas jaringan mereka melalui perangkat regional, membuatnya tampak berasal dari infrastruktur lokal yang sah untuk menghindari deteksi dan mempersulit atribusi.

Analis Talos telah mengidentifikasi malware baru dalam kampanye tersebut, termasuk LONGLEASH, versi baru dari backdoor SHORTLEASH yang telah didokumentasikan sebelumnya, DOGLEASH, backdoor Linux, JARLEASH, alat administratif, dan LEASHTEST, sebuah utilitas pengujian.

Para peneliti melaporkan bahwa UAT-7810 terutama mengeksploitasi kerentanan yang diketahui (n-hari) untuk mendapatkan akses awal, termasuk CVE-2020-22653, CVE-2020-22658, dan CVE-2023-25717 di router Ruckus, serta CVE-2025-2492 di router ASUS AiCloud.

Malware LONGLEASH

Malware LONGLEASH yang baru ditemukan adalah versi terbaru dari SHORTLEASH, yang pertama kali didokumentasikan oleh Kartu Skor Keamanan pada tahun 2025, yang secara signifikan memperluas kemampuannya.

Malware ini dibuat berdasarkan versi sebelumnya, yang mendukung komunikasi perintah dan kontrol (C2), hosting server web, manajemen terowongan jaringan, dan operasi sebagai server dan klien C2.

Selain itu, peneliti Talos kini juga mengamati kemampuan berikut:

  • Cangkang terbalik
  • Proksi HTTP, DNS, SOCKS, TCP, ICMP, dan UDP dengan pengalihan lalu lintas
  • Fungsionalitas klien/server SMTP
  • Dukungan TLS dan PKI
  • Penghapusan mandiri ketika gangguan atau aktivitas mencurigakan lainnya terdeteksi
  • Kemampuan untuk bertindak sebagai server C2 perantara, meneruskan perintah dan data antar node yang terinfeksi

DOGLEASH, JARLEASH, dan LEASHTEST

Selain LONGLEASH, para peneliti juga menemukan DOGLEASH, sebuah backdoor Linux ringan yang digunakan melalui skrip shell web.

Saat diluncurkan, ia membuka port TCP yang mendengarkan dan mengautentikasi permintaan masuk menggunakan kata sandi hardcode, mendukung eksekusi perintah shell, akses dan modifikasi file, pengambilan informasi OS, dan eksekusi kode arbitrer langsung di memori host.

JARLEASH adalah alat administratif berbasis Java yang menyediakan manajemen file berbasis web dan mencakup fungsionalitas server FTP, SFTP, dan Netcat.

Terakhir, pelaku ancaman telah mengembangkan LEASHTEST, yang dapat digunakan untuk memverifikasi apakah perangkat MIPS IoT dapat menjalankan fungsi yang terkait dengan operasi malware, yang kemungkinan akan membantu menyempurnakan dukungan MIPS LONGLEASH.

Cisco Talos menyimpulkan bahwa UAT-7810 terus memperluas infrastruktur ORB-nya, secara aktif menggantikan atau memperluas SHORTLEASH dengan LONGLEASH yang lebih mumpuni sambil memperluas perangkatnya dengan malware baru.

Daftar lengkap indikator kompromi (IoC) yang terkait dengan aktivitas UAT-7810 dan perangkat terbaru tersedia di bagian bawah laporan Cisco Talos.

gambar artikel

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya