>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

APT cinese usa nuovi malware per il controllo di router e switch

Un threat actor sponsorizzato dal governo cinese rinnova lo sviluppo di backdoor su misura per i dispositivi di rete.

APT cinese usa nuovi malware per il controllo di router e switch
Tecnologie/Scenari

Fonte: https://www.fortinet.com/resources/reports/threat-landscape-report

Quattro nuovi server e tre famiglie di malware mai documentate prima: sono le novità rintracciate dai ricercatori di Cisco Talos e che definiscono l'ultima fase evolutiva dell’APT cinese tracciato con la sigla UAT-7810. Il gruppo è responsabile della costruzione e del mantenimento della rete ORB (Operational Relay Box) nota come LapDogs ed è caratterizzato dal fatto che non colpisce direttamente le sue vittime. Il suo compito è con tutta probabilità la costruzione di infrastrutture di relay che vengono poi messe a disposizione di altri gruppi APT che attaccano obiettivi di alto valore, mascherando l'origine del traffico.

Le novità sono rilevanti anche per le aziende europee, non in relazione alla singola campagna, ma per il modello che rappresenta: router e switch periferici, spesso trascurati nelle strategie di patching, diventano nodi di una rete a disposizione dei gruppi state-sponsored per colpire obiettivi ovunque nel mondo. L'interesse già dimostrato da UAT-7810 verso famiglie di dispositivi molto diffuse anche da noi, come i router Ruckus e Asus, fa diventare una priorità l'aggiornamento tempestivo del firmware degli apparati di rete delle piccole e medie imprese.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Peraltro, quanto mostrato in questo studio è un modello sempre più diffuso nell'ecosistema delle minacce APT: chi costruisce l'infrastruttura è separato da chi la usa per attaccare. Da una parte questo implica un livello elevato di specializzazione degli attaccanti, dall’altra un approccio del genere rende più complesso risalire a chi ha materialmente condotto un attacco quando lo si individua.

Come funziona l’attacco

Per l'accesso iniziale ai dispositivi, UAT-7810 continua con la tradizione di puntare su vulnerabilità note da tempo ma non corrette. È una tecnica che adotta da tempo e che in questo caso si concentra su router wireless Ruckus privi di patch per le falle monitorate con le sigle CVE-2020-22653, CVE-2020-22658 e CVE-2023-25717. Si tratta di vulnerabilità pubbliche, documentate, datate, per le quali esistono patch da molto tempo, quindi il problema non è la scoperta di una falla sconosciuta, ma la mancata applicazione di patch già disponibili su dispositivi che restano esposti online per anni, spesso perché considerati secondari.

Una volta ottenuto l'accesso al dispositivo compromesso, UAT-7810 distribuisce uno script che scarica DOGLEASH, la nuova backdoor da Talos, che apre l'accesso alla porta su cui il malware si mette in ascolto e lo avvia. È una backdoor più semplice rispetto agli altri strumenti del gruppo, pensata per garantire un accesso rapido e diretto al dispositivo. Da quel momento, DOGLEASH resta in attesa di ricevere comandi dall'esterno, che consisteranno nell’esecuzione di istruzioni sul dispositivo, fra cui lettura e copia di file, raccolta di informazioni sul sistema o esecuzione di codice direttamente in memoria. Talos ha individuato almeno quattro server distinti usati da UAT-7810 per ospitare varianti di DOGLEASH compilate per diverse architetture hardware, tra cui MIPS, ARM e x64, segno che il gruppo punta a colpire un ventaglio molto ampio di dispositivi di rete.

Su almeno uno dei server individuati, UAT-7810 ha inoltre installato JARLEASH, uno strumento di amministrazione che il gruppo utilizza per gestire in modo più agevole l'infrastruttura già compromessa. Mette a disposizione un'interfaccia web per la gestione dei file e funzioni di trasferimento dati che semplificano il lavoro degli operatori nel mantenere l'accesso nel tempo ai sistemi violati. Talos segnala che il file di configurazione dello strumento contiene commenti in cinese semplificato che, insieme ad altre evidenze infrastrutturali, rafforza l'attribuzione agli operatori di lingua cinese.

A completare il quadro c'è LEASHTEST, uno strumento usato per verificare che alcune funzioni di base del malware principale funzionino correttamente sui processori MIPS, molto diffusi tra router e apparati IoT di fascia consumer. Secondo Talos, il fatto che UAT-7810 continui a condurre questi test nonostante disponga già di un framework completo e maturo suggerisce che il gruppo non sia ancora del tutto sicuro del comportamento del proprio malware su questa specifica categoria di dispositivi.

Il progetto più maturo del gruppo resta però LONGLEASH, nuova versione del malware SHORTLEASH già noto agli analisti. Condivide la base di codice con il predecessore e aggiunge nuove capacità di comunicazione con l'esterno: può aprire canali nascosti verso il server di comando e controllo, instradare traffico attraverso più protocolli per confondersi con il traffico legittimo della rete e, soprattutto, cancellare ogni traccia di sé dal dispositivo se rileva tentativi di analisi o manomissione. Per mimetizzarsi, quando comunica in rete l'impianto si presenta come un normale browser Chrome, così da confondere la propria attività con il traffico legittimo generato dagli utenti reali della rete compromessa. Una caratteristica particolarmente rilevante è la capacità di LONGLEASH di funzionare come nodo intermedio della rete di comando: può ricevere istruzioni dal server centrale e ritrasmetterle ad altri dispositivi compromessi, rendendo la rete ORB più resiliente anche quando una parte dell'infrastruttura viene individuata e messa fuori uso dai difensori.

Sul fronte dell'infrastruttura, Talos ha individuato quattro nuovi server usati da UAT-7810 per distribuire il malware verso diverse tipologie di dispositivi. Uno di questi, già usato per sfruttare una vulnerabilità nei router Asus AiCloud agli inizi del 2026, indica che UAT-7810 o un gruppo a esso collegato ha tentato di estendere la rete ORB anche a questa categoria di dispositivi, molto diffusa anche sul mercato consumer ed enterprise europeo.

Sul fronte della difesa, Talos ha pubblicato le firme di rilevamento per tutti gli strumenti descritti, integrate nei propri sistemi di protezione di rete, filtraggio web e antivirus, per consentire ai team di sicurezza di verificare tempestivamente eventuali segnali di compromissione sui propri dispositivi di rete, a patto che dispongano di una reale visibilità sul traffico che li attraversa.

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.7 - 4.6.4