你家那台Ruckus路由器,上次更新固件是什么时候?如果一时答不上来,那它很可能已经被UAT-7810这个与中国关联的入侵组织盯上,并悄悄编入一个全球性的“操作中继盒网络”。
安全圈把这种网络叫ORB,说白了就是劫持一堆普通人的路由器和联网设备,串成一条秘密链路。攻击者把流量从这条链路里过一遍,真实源头就变得面目全非,而受害单位的防火墙看到的只是一串看似正常的家庭宽带IP。这正是UAT-7810的老本行——他们不直接发动攻击,而是专管后勤,搭好中继跳板再租给其他攻击者用。这种分工模式,让溯源难度直接拉满。
![]()
这个代号LapDogs的中继网络,其实早在2025年就被Cisco Talos的研究员揪了出来。但两年多过去,它不但没萎缩,反而还在持续膨胀。Talos的最新报告直指,UAT-7810是一个高级持续性威胁,他们手里维护的这套基础设施,至今仍在给各类真正干脏活的黑客组织输送“干净”的网络路径。
接下来这几点,把整件事的底裤扒开来看看。
一、入口就是你家路由器,专挑没打补丁的
UAT-7810拿下的第一批跳板,几乎全是没修补已知漏洞的Ruckus无线设备。他们根本没费心去挖什么零日漏洞,而是直接利用市面上已经公开但很多人就是不修的旧漏洞。Talos报告里列出了三个已知安全缺陷,这意味着只要管理员认真做过固件升级,入侵的窗口就能直接焊死。可现实是,大量现网的Ruckus路由器还在跑着老旧版本,连最基础的门锁都坏了,攻击者进出就像回家一样。
二、后门工具从SHORTLEASH升级到LONGLEASH,花样多了不止一点
此前这个组织一直用一款叫SHORTLEASH的后门维持权限,但现在已经被功能更丰满的LONGLEASH取代。光看名字就能猜到,新版不再是简单的连接工具。它能充当代理、运行自建Web服务、管理加密隧道,甚至直接升级成一台中间命令服务器,把指令接力传给其他被控设备。为了让它看起来更像正常浏览器流量,代码里还嵌入了Chrome的用户代理标识,随手就把流量特征洗干净了。
三、新发现的DOGLEASH和JARLEASH
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.