UAT-7810 China Kembangkan Jaringan ORB dengan Malware Baru LONGLEASH
UAT-7810, kelompok ancaman siber yang terkait dengan China, sedang mengembangkan dan menyempurnakan malware khusus untuk memperluas jaringan Operational Relay Box (ORB) dengan menargetkan perangkat jaringan yang terhubung langsung ke internet.
Berdasarkan hasil penelitian dari Cisco Talos, UAT-7810 merupakan aktor advanced persistent threat (APT) yang bertanggung jawab mengelola dan memperluas jaringan ORB bernama LapDogs, yang pertama kali terungkap pada Juni 2025.
"UAT-7810 kemungkinan besar bertugas membangun jaringan Operational Relay Box (ORB) yang kemudian dapat digunakan oleh aktor ancaman sekunder untuk melancarkan serangan berbahaya terhadap target bernilai tinggi," ujar para peneliti Jungsoo An, Asheer Malhotra, Vanja Svajcer, dan Brandon White.
Salah satu aktor siber yang memanfaatkan jaringan ini adalah UAT-5918, yang telah dikaitkan dengan serangan terhadap infrastruktur kritis di Taiwan sejak 2023 dengan tujuan memperoleh akses permanen ke lingkungan korban.
Pengembangan Malware Baru LONGLEASH dan Alat Pendukung
Temuan terbaru menunjukkan bahwa UAT-7810 terus mengembangkan malware khusus yang sebelumnya dikenal sebagai ShortLeash dengan versi baru yang dinamai LONGLEASH. Selain itu, ada dua alat lain yang belum pernah dilaporkan sebelumnya:
- DOGLEASH: sebuah backdoor pasif yang mampu menjalankan shellcode arbitrer pada perangkat Linux yang telah dikompromikan.
- LEASHTEST: sebuah file biner ELF yang digunakan untuk menguji fungsi tertentu seperti pembuatan thread, proses anak, atau timer asinkron pada perangkat embedded berbasis MIPS.
"UAT-7810 menggunakan setidaknya empat server baru untuk menampung berbagai varian minor dari DOGLEASH guna disebarkan ke target yang telah dikompromikan," tambah para peneliti. "Selain itu, sebuah backdoor berbasis Java (paket JAR) yang kami beri nama 'JARLEASH' juga digunakan pada setidaknya satu dari tiga server untuk tujuan administrasi, termasuk manajemen file, FTP, SFTP, dan Netcat."
Metode Serangan dan Target Perangkat Rentan
Rantai serangan yang dilakukan oleh kelompok ini memanfaatkan kerentanan yang diketahui pada router nirkabel Ruckus yang belum diperbarui, seperti CVE-2020-22653, CVE-2020-22658, dan CVE-2023-25717. Kampanye yang teramati awal tahun ini juga menargetkan router ASUS AiCloud yang rentan terhadap CVE-2025-2492, menunjukkan upaya untuk memperluas jaringan ORB lebih jauh.
Malware ShortLeash memiliki fitur backdoor yang dapat menghubungi server eksternal, meng-host web server, serta berfungsi sebagai server dan klien command-and-control (C2). Versi terbarunya, LONGLEASH, menawarkan fungsi tambahan yang menandakan siklus pengembangan aktif, antara lain:
- Sebuah komponen eksekutor yang memungkinkan fungsi proxy menggunakan protokol HTTP, DNS, SOCKS, TCP, ICMP, dan UDP.
- Manajemen koneksi jaringan ke server lain, otorisasi klien, dan penghapusan malware beserta jejaknya jika ada upaya pengusutan.
- Berfungsi sebagai server C2 perantara untuk meneruskan perintah dan data dari server C2 utama ke server rekanan.
Menurut Cisco Talos, pengembangan dan penggunaan LEASHTEST menunjukkan bahwa meskipun LONGLEASH sudah merupakan framework backdoor lengkap, UAT-7810 masih aktif menguji fungsi pada perangkat berbasis MIPS dan mungkin belum sepenuhnya yakin dengan performanya pada platform tersebut.
Analisis Redaksi
Menurut pandangan redaksi, pengembangan malware LONGLEASH dan ekspansi jaringan ORB oleh UAT-7810 menandai eskalasi signifikan dalam kapabilitas serangan siber yang ditujukan pada infrastruktur kritis. Jaringan ORB seperti LapDogs berfungsi sebagai infrastruktur tersembunyi yang memungkinkan berbagai kelompok ancaman melakukan serangan dengan cara yang lebih sulit dilacak dan dihalau.
Hal ini mengindikasikan bahwa serangan siber dari aktor yang berafiliasi dengan China kini semakin terorganisir dan fokus pada penguasaan perangkat jaringan yang menjadi tulang punggung konektivitas internet. Dengan menggunakan kerentanan perangkat router yang umum digunakan, mereka dapat melakukan penetrasi secara masif dan mempertahankan akses jangka panjang.
Kedepannya, penting bagi pihak keamanan siber dan pengelola infrastruktur jaringan untuk memperketat pengamanan perangkat dan rutin melakukan pembaruan firmware serta monitoring trafik yang mencurigakan. Publik juga perlu waspada terhadap potensi serangan yang bisa berdampak pada layanan penting terutama yang berhubungan dengan infrastruktur vital.
Untuk informasi lebih lanjut dan pembaruan terkini tentang ancaman siber ini, Anda dapat mengikuti berita dari The Hacker News serta sumber terpercaya lainnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0