维度网讯,一个代号为UAT-7810的中国威胁行为者正在持续扩展其恶意软件工具集,以扩大利用被入侵路由器和物联网设备构建的中继代理(ORB)网络。思科Talos(Cisco Talos)于2026年7月7日发布的研究报告指出,该组织已从此前被发现的SHORTLEASH后门升级为功能更强的LONGLEASH变种,并新增了DOGLEASH、JARLEASH以及一个名为LEASHTEST的测试工具。

ORB网络被描述为传统VPN结构与僵尸网络的混合体,Team Cymru及Mandiant(曼迪安特)等机构已对此类基础设施进行过大量记录。攻击者通过区域内看似正常的设备路由流量,以掩盖活动真实来源。Mandiant的研究表明,至少自2024年以来,与中国相关的APT行为者越来越多地转向使用这些分布式代理网络,利用被入侵的虚拟专用服务器、物联网设备和SOHO路由器隐藏命令与控制路径。思科Talos指出,UAT-7810利用了包括Ruckus路由器中的CVE-2020-22653、CVE-2020-22658和CVE-2023-25717,以及华硕AiCloud设备中的CVE-2025-2492在内的多个已知漏洞。这些均为已知漏洞而非零日漏洞,凸显了大量面向互联网的设备长期未打补丁的问题。
新发现的LONGLEASH后门在SecurityScorecard于2025年记录的原始SHORTLEASH基础上,显著扩展了能力。该恶意软件现支持反向Shell,以及跨HTTP、DNS、SOCKS、TCP、ICMP和UDP的多协议代理,并具备SMTP客户端和服务器功能,同时支持TLS和PKI。它能在检测到篡改或可疑活动时自我删除,管理隧道,并可通过在受感染设备间转发指令和数据,充当中间命令和控制节点。该工具在更广泛的间谍生态系统中发挥作用,有助于创建一个网状结构,使其他与中国相关的APT(包括UAT-5918)可通过其进行路由。
DOGLEASH和JARLEASH展示了UAT-7810的模块化方法。DOGLEASH是一种轻量级Linux后门,通过Web Shell脚本部署,可打开监听TCP端口并使用硬编码密码验证传入请求,支持Shell命令执行、文件访问和内存中的任意代码执行。JARLEASH是一种Java管理工具,提供基于Web的文件管理以及FTP、SFTP和Netcat服务器功能。LEASHTEST则专注于验证MIPS物联网设备能否执行与恶意软件操作相关的功能,表明攻击者在规模化部署新工具前会例行测试硬件限制。
行业分析师长期以来一直关注这一战术转变。IEEE(电气与电子工程师协会)社区已多次讨论非托管边缘设备的相关风险,尤其是廉价的(家用)路由器和IP摄像头仍随带过时的固件出货。Gartner(高德纳)在其安全运营覆盖范围中指出,分布式命令基础设施通常要求组织重新思考如何监控环境中的东西向流量。GAO(美国政府问责局)在其对联邦网络安全准备情况的持续审查中指出,各机构有时难以维护准确的联网设备清单,这可能导致盲点。
思科Talos的分析强调,UAT-7810严重依赖已知漏洞。补丁时间线和资产清单以非常实际的方式决定了暴露程度。报道的能力与美国国家标准与技术研究院(NIST)网络安全框架和MITRE ATT&CK矩阵等框架相一致。ORB网络属于ATT&CK技术中与命令和控制、代理以及使用受感染基础设施相关的混合体。
思科Talos总结道,UAT-7810正在积极用LONGLEASH替换或扩展其旧的SHORTLEASH部署,同时通过利用n-day漏洞入侵的设备扩大整体覆盖范围。该组织的评估反映了一种新兴常态:间谍活动操作者不仅投资于入侵工具,还投资于旨在经受拆除的持久基础设施。










