Cisco Talos zufolge hat UAT-7810 die eigene Malware ShortLeash zu einer neueren Version mit dem Namen LONGLEASH weiterentwickelt. Zusätzlich setzt die Gruppe zwei weitere, zuvor nicht beschriebene Werkzeuge ein. Die Forscher berichten außerdem, dass UAT-7810 mindestens vier neue Server verwendet habe, um verschiedene kleinere Varianten von DOGLEASH für den Einsatz auf kompromittierten Zielen bereitzustellen.
Hinzu kommt eine Java-basierte Hintertür in Form eines JAR-Pakets, die Talos unter dem Namen JARLEASH führt. Sie sei von UAT-7810 mindestens auf einem von drei Servern für Verwaltungsaufgaben eingesetzt worden. Dazu zählten laut den Forschern Dateiverwaltung sowie FTP, SFTP und Netcat.
Bei den Angriffsketten nutzt die Gruppe bekannte Schwachstellen in nicht gepatchten Ruckus-WLAN-Routern aus. Cisco Talos nennt dabei CVE-2020-22653, CVE-2020-22658 und CVE-2023-25717. In Kampagnen, die Talos in diesem Jahr beobachtet hat, nahm UAT-7810 außerdem ASUS-AiCloud-Router ins Visier, die für CVE-2025-2492 anfällig sind. Das deute auf Versuche hin, das ORB-Netz weiter auszubauen.
ShortLeash enthält laut Talos eine Hintertür, die einen externen Server kontaktieren, einen Webserver bereitstellen und sowohl als Command-and-Control-Server als auch als Client fungieren kann. LONGLEASH erweitert diese Fähigkeiten noch einmal. Für Talos ist das ein Hinweis auf einen aktiven Entwicklungszyklus der Malware.
Besonders aufschlussreich ist aus Sicht der Forscher die Entwicklung und Nutzung von LEASHTEST. Talos wertet das als Zeichen dafür, dass UAT-7810 trotz des mit LONGLEASH bereits vorhandenen, vollwertigen Backdoor-Frameworks weiterhin Funktionen auf MIPS-Plattformen testet. Nach Einschätzung der Forscher könnte die Gruppe sich beim Verhalten der Malware auf MIPS-Geräten noch nicht vollständig sicher sein.
Talos verbindet UAT-7810 zudem mit dem Betrieb von LapDogs, einem ORB-Netzwerk, das im Juni 2025 erstmals bekannt wurde. Die Forscher gehen davon aus, dass die Aufgabe der Gruppe vor allem darin besteht, solche ORB-Netze aufzubauen, damit verbundene zweite Akteure diese Infrastruktur für eigene bösartige Operationen gegen hochwertige Ziele verwenden können. Als einen Akteur, der diese Infrastruktur bereits für eigene Angriffe genutzt habe, nennt Talos UAT-5918. Diese Gruppe wird mit Angriffen auf kritische Infrastruktur in Taiwan in Verbindung gebracht, die auf dauerhaften Zugang in den Zielumgebungen abzielten.
