Un actor de amenazas chino rastreado como UAT-7810 está refinando activamente su malware personalizado para expandir su red Operational Relay Box (ORB) irrumpiendo en dispositivos de red conectados a Internet.
Según los hallazgos de Cisco Talos, UAT-7810 es un actor de amenaza persistente avanzada (APT) responsable de mantener y hacer proliferar LapDogs, una red ORB que salió a la luz por primera vez en junio de 2025.
“Lo más probable es que UAT-7810 tenga la tarea de establecer redes de cajas de retransmisión operativas (ORB) que luego puedan ser aprovechadas por actores de amenazas secundarios asociados para llevar a cabo sus propios ataques maliciosos contra objetivos de alto valor”, dijeron los investigadores Jungsoo An, Asheer Malhotra, Vanja Svajcer y Brandon White.
Uno de esos actores de amenazas del nexo con China que ha aprovechado la infraestructura en sus propios ataques es el UAT-5918, que ha estado vinculado a ataques cibernéticos dirigidos a entidades de infraestructura crítica en Taiwán desde al menos 2023 con el objetivo de establecer un acceso persistente dentro de los entornos de las víctimas.
Los últimos hallazgos indican que UAT-7810 ha seguido desarrollando su malware personalizado denominado ShortLeash con una versión más nueva cuyo nombre en código es LONGLEASH. El actor de amenazas también utiliza otras dos herramientas no reportadas anteriormente:
- DOGLEASH, una puerta trasera pasiva que puede ejecutar código shell arbitrario en un dispositivo Linux comprometido
- LASHTEST, un binario ELF que se utiliza para probar ciertas funciones, como crear un hilo, un proceso hijo o un temporizador asíncrono, en dispositivos integrados basados en MIPS.
“UAT-7810 utilizó al menos cuatro servidores nuevos para alojar una variedad de variaciones menores de DOGLEASH para implementar contra objetivos comprometidos”, agregaron los investigadores. “UAT-7810 también implementó una puerta trasera adicional basada en Java (paquete JAR) que rastreamos como ‘JARLEASH’ en al menos uno de los tres servidores con fines administrativos, incluida la gestión de archivos, FTP, SFTP y Netcat”.
Se sabe que las cadenas de ataques montadas por el equipo de hackers convierten en armas vulnerabilidades conocidas en enrutadores inalámbricos Ruckus sin parches, como CVE-2020-22653, CVE-2020-22658 y CVE-2023-25717. Las campañas observadas a principios de este año también señalaron los enrutadores ASUS AiCloud susceptibles a CVE-2025-2492, lo que indica posibles intentos de ampliar la red ORB.

ShortLeash incorpora una puerta trasera capaz de contactar con un servidor externo, alojar un servidor web y actuar como servidor y cliente de comando y control (C2). Su sucesor, LONGLEASH, incluye funciones adicionales, lo que apunta a un ciclo de desarrollo activo. Algunas de las características más nuevas se enumeran a continuación:
- Un componente ejecutor que habilita funciones de proxy utilizando los protocolos HTTP, DNS, SOCKS, TCP, ICMP y UDP, administra las conexiones de red a otros servidores, autoriza a los clientes y elimina el implante y todos los rastros del servidor si se detecta algún intento de manipulación.
- Actuar como un servidor C2 intermedio para transmitir comandos y datos desde el C2 primario y reenviarlos a sus pares.
“El desarrollo y uso de LEASHTEST significa que a pesar de que han desarrollado LONGLEASH, un marco de puerta trasera completo, UAT-7810 todavía está probando activamente la funcionalidad en plataformas MIPS y puede no estar completamente seguro de su comportamiento en dispositivos MIPS”, dijo Talos.



