UAT-7810 de China expande la red ORB encubierta a través del IoT
2026-07-08 13:57
Favoritos

es.wedoany.com Noticia: Un actor de amenazas chino, identificado como UAT-7810, está expandiendo continuamente su conjunto de herramientas maliciosas para ampliar la red de agentes de retransmisión (ORB) construida mediante routers y dispositivos IoT comprometidos. Un informe de investigación publicado por Cisco Talos el 7 de julio de 2026 señala que este grupo ha actualizado su backdoor SHORTLEASH, previamente detectado, a la variante más potente LONGLEASH, e incorporado nuevas herramientas como DOGLEASH, JARLEASH y una herramienta de prueba llamada LEASHTEST.

UAT-7810 de China expande la red ORB encubierta a través del IoT

La red ORB se describe como un híbrido entre una estructura VPN tradicional y una botnet, y entidades como Team Cymru y Mandiant han documentado ampliamente este tipo de infraestructura. Los atacantes enrutan el tráfico a través de dispositivos aparentemente normales dentro de la región para ocultar el verdadero origen de sus actividades. Investigaciones de Mandiant indican que, al menos desde 2024, los actores APT relacionados con China han recurrido cada vez más a estas redes de proxy distribuidas, utilizando servidores virtuales privados, dispositivos IoT y routers SOHO comprometidos para ocultar las rutas de comando y control. Cisco Talos señala que UAT-7810 explota múltiples vulnerabilidades conocidas, incluyendo CVE-2020-22653, CVE-2020-22658 y CVE-2023-25717 en routers Ruckus, así como CVE-2025-2492 en dispositivos AiCloud de ASUS. Todas son vulnerabilidades conocidas, no de día cero, lo que resalta el problema de que muchos dispositivos conectados a internet permanecen sin parches durante largos períodos.

El backdoor LONGLEASH recién descubierto amplía significativamente las capacidades del SHORTLEASH original, documentado por SecurityScorecard en 2025. Este malware ahora admite shells inversos, así como proxy multiprotocolo a través de HTTP, DNS, SOCKS, TCP, ICMP y UDP, y cuenta con funciones de cliente y servidor SMTP, además de soporte para TLS y PKI. Puede autodestruirse al detectar manipulación o actividad sospechosa, gestionar túneles y actuar como nodo intermediario de comando y control al reenviar instrucciones y datos entre dispositivos infectados. Esta herramienta opera dentro de un ecosistema de espionaje más amplio, ayudando a crear una estructura de malla que permite a otros APT relacionados con China, incluido UAT-5918, enrutar a través de ella.

DOGLEASH y JARLEASH demuestran el enfoque modular de UAT-7810. DOGLEASH es un backdoor ligero para Linux, implementado mediante scripts de Web Shell, que abre puertos TCP de escucha y utiliza contraseñas codificadas para verificar solicitudes entrantes, admitiendo ejecución de comandos de shell, acceso a archivos y ejecución de código arbitrario en memoria. JARLEASH es una herramienta de administración en Java que ofrece gestión de archivos basada en web, así como funciones de servidor FTP, SFTP y Netcat. LEASHTEST se centra en verificar si los dispositivos IoT con arquitectura MIPS pueden ejecutar funciones relacionadas con operaciones de malware, lo que indica que los atacantes prueban rutinariamente las limitaciones de hardware antes de implementar nuevas herramientas a gran escala.

Los analistas de la industria han seguido de cerca este cambio táctico durante mucho tiempo. La comunidad del IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) ha debatido en múltiples ocasiones los riesgos asociados a los dispositivos periféricos no gestionados, especialmente porque los routers domésticos económicos y las cámaras IP aún se envían con firmware obsoleto. Gartner, en su cobertura de operaciones de seguridad, señala que la infraestructura de comando distribuida a menudo obliga a las organizaciones a replantearse cómo monitorear el tráfico este-oeste en sus entornos. La GAO (Oficina de Responsabilidad Gubernamental de EE. UU.), en su revisión continua de la preparación en ciberseguridad federal, indica que las agencias a veces tienen dificultades para mantener un inventario preciso de dispositivos conectados a la red, lo que puede generar puntos ciegos.

El análisis de Cisco Talos destaca que UAT-7810 depende en gran medida de vulnerabilidades conocidas. La línea de tiempo de parches y los inventarios de activos determinan de manera muy práctica el nivel de exposición. Las capacidades reportadas se alinean con marcos como el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) y la matriz MITRE ATT&CK. Las redes ORB pertenecen a una combinación de técnicas ATT&CK relacionadas con comando y control, proxy y uso de infraestructura comprometida.

Cisco Talos concluye que UAT-7810 está reemplazando o expandiendo activamente sus antiguas implementaciones de SHORTLEASH con LONGLEASH, al mismo tiempo que amplía su cobertura general mediante la explotación de dispositivos comprometidos a través de vulnerabilidades n-day. La evaluación de este grupo refleja una nueva normalidad: los operadores de espionaje no solo invierten en herramientas de intrusión, sino también en infraestructura persistente diseñada para resistir desmantelamientos.

Este boletín es una compilación y reproducción de información de Internet global y socios estratégicos, y está destinado únicamente a proporcionar a los lectores la comunicación. Si hay infracción u otros problemas, por favor infórmenos a tiempo, este sitio será modificado o eliminado. Toda reproducción de este artículo sin autorización formal está estrictamente prohibida. Correo electrónico: news@wedoany.com