Hack Alerta

Grupo UAT-7810 expande rede de roteadores Ruckus para ocultar ataques

Grupo UAT-7810 expande rede global de dispositivos sequestrados explorando falhas em roteadores Ruckus para criar redes de retransmissão operacional e ocultar ataques.

Um grupo de hackers ligado à China, identificado como UAT-7810, está expandindo uma rede global de dispositivos de internet sequestrados explorando falhas de segurança em roteadores sem fio Ruckus e implantando malware personalizado. Esta atividade alimenta o que pesquisadores chamam de rede de caixas de retransmissão operacional (Operational Relay Box - ORB), uma cadeia de dispositivos comprometidos usados para ocultar a verdadeira origem de ciberataques.

A campanha UAT-7810

Os analistas da Cisco Talos rastreiam ativamente a infraestrutura e o malware associados ao UAT-7810, descrevendo o grupo como uma ameaça persistente avançada responsável por sustentar a rede LapDogs. O grupo parece se especializar na construção e manutenção dessas redes de retransmissão para que outros atores de ameaças possam usá-las para lançar ataques contra alvos valiosos. Essa divisão de trabalho torna mais difícil para os defensores rastrear uma intrusão até sua verdadeira origem.

Malware SHORTLEASH e LONGLEASH

No centro desta campanha está um backdoor chamado SHORTLEASH, que a Talos diz estar sendo substituído por uma versão atualizada chamada LONGLEASH, que adiciona muito mais capacidade. O LONGLEASH pode atuar como proxy, executar seu próprio servidor web, gerenciar túneis criptografados e até funcionar como um servidor de comando intermediário que passa instruções para outros dispositivos infectados. Ele usa bibliotecas de código aberto e um identificador do navegador Chrome para disfarçar seu tráfego de rede como navegação web normal.

A Talos também descobriu duas ferramentas anteriormente desconhecidas, DOGLEASH e JARLEASH, além de um pequeno programa de teste chamado LEASHTEST. O DOGLEASH é um backdoor leve que escuta silenciosamente em dispositivos Linux infectados e aguarda comandos específicos. O JARLEASH, escrito em Java, fornece aos atacantes um console de gerenciamento de arquivos e ferramentas de transferência de arquivos.

Roteadores Ruckus como vetor

Roteadores sem fio Ruckus tornaram-se um alvo favorito porque muitas unidades em campo ainda executam software desatualizado. A Talos identificou três vulnerabilidades conhecidas que o UAT-7810 explorou para invadir esses dispositivos desde 2025. Uma vez comprometido, um roteador pode ser silenciosamente incorporado à rede ORB e usado para retransmitir tráfego por meses sem que o proprietário perceba.

O grupo também demonstrou interesse em expandir além dos roteadores, com um servidor ligado à campanha usado para atacar dispositivos ASUS AiCloud no início deste ano. Isso sugere que o UAT-7810 não está se limitando a um único fornecedor ou tipo de dispositivo à medida que cresce sua infraestrutura de retransmissão.

Indicadores de comprometimento

Os atacantes confiam fortemente em roteadores Ruckus não corrigidos para obter seu ponto de apoio inicial, explorando vulnerabilidades conhecidas, mas não abordadas, em vez de descobrir novas. A aplicação de atualizações de firmware de roteador prontamente e a substituição de hardware com fim de vida são etapas simples, mas eficazes, que podem fechar essa porta de entrada. Organizações e usuários comuns são encorajados a verificar se seus roteadores ainda recebem atualizações de segurança do fabricante.

O que fazer agora

Segmentar redes domésticas e de escritório para que um roteador comprometido não possa facilmente alcançar outros dispositivos adiciona outra camada de proteção. Como esses ataques dependem de acesso silencioso e de longo prazo, em vez de danos imediatos, o monitoramento regular do tráfego de rede em busca de conexões incomuns também é recomendado.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.