中国関連APT、新たなマルウェア使いORBネットワークを引き続き拡大
BleepingComputer – July 7, 2026
中国関連のAPT脅威アクターとみられる「UAT-7810」は、Ruckusルーターなどのネットワーキング端末を侵害してOperational Relay Box(ORB)ネットワークを拡大させるため、自身のマルウェアを積極的に進化させているという。Cisco Talosが報告した。
UAT-7810は、SecurityScorecardが2025年に最初に報告したORBネットワーク「LapDogs」の維持管理・規模拡大を担っているとみられる脅威アクター。ORBネットワークとは侵害されたSOHOルーターやIoTデバイスから成るセキュアリレーインフラで、脅威アクターらはこれを利用することで、自らのトラフィックを正規のローカルインフラから発せられたように見せかけて検出を回避できるようになるほか、アトリビューション(帰属特定)の難易度を挙げることも可能になる。
Cisco Talosによると、UAT-7810はこうしたLapDogsなどのORBネットワークの確立を任務としている可能性がかなり高く、構築されたORBネットワークはUAT-5918などその他の中国関連APTグループによって利用されているものとみられるという。UAT-7810の攻撃では、主に以下を含むRuckus製ルーターのNデイ脆弱性が初期アクセス獲得のために悪用される。
- CVE-2020-22653
- CVE-2020-22658
- CVE-2023-25717
これに加え、ASUSのAiCloud対応ルーターにおける脆弱性CVE-2025-2492を悪用するためのインフラも観測されていることから、UAT-7810または関連する脅威アクターがORBネットワークをCVE-2025-2492製品のみならずAiCloudルーターにまで広げようとしている可能性が示唆されているという。
また、Cisco Talosの最新の調査結果は、UAT-7810がLapDogsキャンペーンでも使用されたカスタムメイドのマルウェア「SHORTLEASH」の開発を続けていることを示している。同調査チームはSHORTLEASHの最新版マルウェアを「LONGLEASH」と名付け、加えてUAT-7810の新たなマルウェアファミリー2種(DOGLEASH、JARLEASH)を発見したことも伝えた。
LONGLEASHはSHORTLEASHのアップグレード版であり、性能の大幅な向上がみられる。C2通信やWebサーバーホスティング、ネットワークトンネル管理、C2サーバー・クライアント双方としてのオペレーションなどSHORTLEASHから受け継いだ性能のほか、LONGLEASHは以下の機能を備えているとされる。
- リバースシェル
- トラフィックリダイレクト機能を備えたHTTP、DNS、SOCKS、TCP、ICMP、UDPのプロキシ機能
- SMTPクライアント/サーバー機能
- TLSおよびPKIのサポート
- 改ざんやその他の不審な活動が検出された場合の自主削除機能
- 中間C2サーバーとして機能し、感染ノード間でコマンドやデータを転送する機能
2つ目の新たなマルウェアであるDOGLEASHは、Webシェルスクリプトを通じて展開される軽量のLinuxバックドア。起動するとTCPリスニングポートを開き、ハードコードされたパスワードを使用して着信リクエストを認証する。シェルコマンドの実行やファイルへのアクセスおよび変更、OS情報の取得、ホストのメモリ内での任意コード実行に対応しているとされる。
3つ目のJARLEASHはJavaベースのバックドア/管理ツールで、Webベースのファイル管理機能を提供するとともに、FTP、SFTP、およびNetcatサーバーの機能も備える。
これらに加え、Cisco Talosは「LEASHTEST」というLinuxバイナリ(ELF)も発見。この新たなツールは、MIPSベースのIoTデバイスがマルウェアの動作に関連する機能を実行できるかどうかを検証するために使用でき、おそらくLONGLEASHマルウェアのMIPSサポート機能を改良するのに役立つものと思われるという。
Cisco Talosは、UAT-7810が旧バージョンのSHORTLEASHをより高性能なLONGLEASHへと積極的に置き換えつつ、新たなマルウェアをツールキットに加えることでORBインフラの拡張を続けていると結論づけた。同チームのブログ記事では、関連するIoCが提供されている。
関連資料をダウンロード

デジタル時代における世界の紛争
地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...
-300x200.png)
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report
本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド
国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...













