中国関連APT、新たなマルウェア使いORBネットワークを引き続き拡大 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 中国関連APT、新たなマルウェア使いORBネットワークを引き続き拡大

デイリーサイバーアラート

APT

Silobreaker-CyberAlert

中国

中国関連APT、新たなマルウェア使いORBネットワークを引き続き拡大

佐々山 Tacos

佐々山 Tacos

2026.07.08

中国関連APT、新たなマルウェア使いORBネットワークを引き続き拡大

BleepingComputer – July 7, 2026

中国関連のAPT脅威アクターとみられる「UAT-7810」は、Ruckusルーターなどのネットワーキング端末を侵害してOperational Relay Box(ORB)ネットワークを拡大させるため、自身のマルウェアを積極的に進化させているという。Cisco Talosが報告した。

 

UAT-7810は、SecurityScorecardが2025年に最初に報告したORBネットワーク「LapDogs」の維持管理・規模拡大を担っているとみられる脅威アクター。ORBネットワークとは侵害されたSOHOルーターやIoTデバイスから成るセキュアリレーインフラで、脅威アクターらはこれを利用することで、自らのトラフィックを正規のローカルインフラから発せられたように見せかけて検出を回避できるようになるほか、アトリビューション(帰属特定)の難易度を挙げることも可能になる。

 

Cisco Talosによると、UAT-7810はこうしたLapDogsなどのORBネットワークの確立を任務としている可能性がかなり高く、構築されたORBネットワークはUAT-5918などその他の中国関連APTグループによって利用されているものとみられるという。UAT-7810の攻撃では、主に以下を含むRuckus製ルーターのNデイ脆弱性が初期アクセス獲得のために悪用される。

  • CVE-2020-22653
  • CVE-2020-22658
  • CVE-2023-25717

 

これに加え、ASUSのAiCloud対応ルーターにおける脆弱性CVE-2025-2492を悪用するためのインフラも観測されていることから、UAT-7810または関連する脅威アクターがORBネットワークをCVE-2025-2492製品のみならずAiCloudルーターにまで広げようとしている可能性が示唆されているという。

 

また、Cisco Talosの最新の調査結果は、UAT-7810がLapDogsキャンペーンでも使用されたカスタムメイドのマルウェア「SHORTLEASH」の開発を続けていることを示している。同調査チームはSHORTLEASHの最新版マルウェアを「LONGLEASH」と名付け、加えてUAT-7810の新たなマルウェアファミリー2種(DOGLEASH、JARLEASH)を発見したことも伝えた。

 

LONGLEASHはSHORTLEASHのアップグレード版であり、性能の大幅な向上がみられる。C2通信やWebサーバーホスティング、ネットワークトンネル管理、C2サーバー・クライアント双方としてのオペレーションなどSHORTLEASHから受け継いだ性能のほか、LONGLEASHは以下の機能を備えているとされる。

  • リバースシェル
  • トラフィックリダイレクト機能を備えたHTTP、DNS、SOCKS、TCP、ICMP、UDPのプロキシ機能
  • SMTPクライアント/サーバー機能
  • TLSおよびPKIのサポート
  • 改ざんやその他の不審な活動が検出された場合の自主削除機能
  • 中間C2サーバーとして機能し、感染ノード間でコマンドやデータを転送する機能

 

2つ目の新たなマルウェアであるDOGLEASHは、Webシェルスクリプトを通じて展開される軽量のLinuxバックドア。起動するとTCPリスニングポートを開き、ハードコードされたパスワードを使用して着信リクエストを認証する。シェルコマンドの実行やファイルへのアクセスおよび変更、OS情報の取得、ホストのメモリ内での任意コード実行に対応しているとされる。

 

3つ目のJARLEASHはJavaベースのバックドア/管理ツールで、Webベースのファイル管理機能を提供するとともに、FTP、SFTP、およびNetcatサーバーの機能も備える。

 

これらに加え、Cisco Talosは「LEASHTEST」というLinuxバイナリ(ELF)も発見。この新たなツールは、MIPSベースのIoTデバイスがマルウェアの動作に関連する機能を実行できるかどうかを検証するために使用でき、おそらくLONGLEASHマルウェアのMIPSサポート機能を改良するのに役立つものと思われるという。

 

Cisco Talosは、UAT-7810が旧バージョンのSHORTLEASHをより高性能なLONGLEASHへと積極的に置き換えつつ、新たなマルウェアをツールキットに加えることでORBインフラの拡張を続けていると結論づけた。同チームのブログ記事では、関連するIoCが提供されている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ