Een Chinese dreigingsacteur gevolgd als UAT-7810 is actief bezig met het verfijnen van zijn op maat gemaakte malware om zijn Operational Relay Box (ORB)-netwerk uit te breiden door in te breken op internetgerichte netwerkapparaten.
Volgens bevindingen van Cisco Talos is UAT-7810 een geavanceerde persistente dreiging (APT) die verantwoordelijk is voor het onderhouden en verspreiden van LapDogs, een ORB-netwerk dat voor het eerst aan het licht kwam in juni 2025.
“UAT-7810 is hoogstwaarschijnlijk belast met het opzetten van Operational Relay Box (ORB)-netwerken die vervolgens kunnen worden gebruikt door geassocieerde secundaire bedreigingsactoren om hun eigen kwaadaardige aanvallen uit te voeren op waardevolle doelen”, aldus onderzoekers Jungsoo An, Asheer Malhotra, Vanja Svajcer en Brandon White.
Een van deze dreigingsactoren op het gebied van de Chinese nexus die de infrastructuur bij zijn eigen aanvallen heeft ingezet, is UAT-5918, dat sinds minstens 2023 in verband wordt gebracht met cyberaanvallen gericht op kritieke infrastructuurentiteiten in Taiwan, met als doel permanente toegang tot slachtofferomgevingen tot stand te brengen.
De laatste bevindingen geven aan dat UAT-7810 door is gegaan met het ontwikkelen van hun aangepaste malware genaamd ShortLeash met een nieuwere versie met de codenaam LONGLEASH. Ook door de bedreigingsacteur worden twee andere niet eerder gerapporteerde tools gebruikt:
- DOGLEASH, een passieve achterdeur die willekeurige shellcode kan uitvoeren op een gecompromitteerd Linux-apparaat
- LEASHTEST, een binair ELF-bestand dat wordt gebruikt voor het testen van bepaalde functionaliteit, zoals het maken van een thread, een onderliggend proces of een asynchrone timer, op op MIPS gebaseerde ingebedde apparaten
“UAT-7810 gebruikte ten minste vier nieuwe servers om een verscheidenheid aan kleine varianten van DOGLEASH te hosten die tegen gecompromitteerde doelen konden worden ingezet”, voegde de onderzoekers eraan toe. “Een extra op Java gebaseerde (JAR-pakket) achterdeur die we volgen als ‘JARLEASH’ werd ook door UAT-7810 op ten minste één van de drie servers geïmplementeerd voor beheerdoeleinden, waaronder bestandsbeheer, FTP, SFTP en Netcat.”
Het is bekend dat aanvalsketens die door de hackploeg zijn opgezet, bekende kwetsbaarheden in niet-gepatchte draadloze Ruckus-routers, zoals CVE-2020-22653, CVE-2020-22658 en CVE-2023-25717, bewapenen. Campagnes die eerder dit jaar werden waargenomen, hebben ook ASUS AiCloud Routers uitgekozen die gevoelig zijn voor CVE-2025-2492, wat wijst op mogelijke pogingen om het ORB-netwerk uit te breiden.

ShortLeash bevat een achterdeur die contact kan maken met een externe server, een webserver kan hosten en kan fungeren als zowel command-and-control (C2)-server als client. De opvolger, LONGLEASH, biedt extra functionaliteit, wat wijst op een actieve ontwikkelingscyclus. Enkele van de nieuwere functies worden hieronder vermeld:
- Een uitvoerdercomponent die proxyfuncties mogelijk maakt met behulp van HTTP-, DNS-, SOCKS-, TCP-, ICMP- en UDP-protocollen, netwerkverbindingen met andere servers beheert, clients autoriseert en het implantaat en alle sporen van de server verwijdert als er pogingen tot manipulatie worden gedetecteerd
- Fungeren als tussenliggende C2-server om opdrachten en gegevens van de primaire C2 door te geven en door te sturen naar zijn collega’s
“De ontwikkeling en het gebruik van LEASHTEST betekent dat, ook al hebben ze LONGLEASH ontwikkeld, een volwaardig backdoor-framework, UAT-7810 nog steeds actief de functionaliteit op MIPS-platforms test en mogelijk niet volledig zeker is van het gedrag ervan op MIPS-apparaten”, aldus Talos.