Cisco Talos verfolgt den Akteur unter der Bezeichnung UAT-7810. Die Forscher ordnen ihn einer China-nahen Bedrohungslage zu und beschreiben seine Aktivitäten als Aufbau eines ORB-Netzwerks für Spionageoperationen. Im Zentrum steht die bereits bekannte Kampagne LapDogs, über die laut SecurityScorecard im vergangenen Jahr mehr als 1.000 SOHO-Router mit ShortLeash kompromittiert wurden.
Talos hat nun eine neue Version dieser Backdoor entdeckt, die den Namen LongLeash trägt. Hinzu kommen zwei weitere Malware-Familien, DogLeash und JarLeash, die UAT-7810 nach Angaben der Forscher ebenfalls einsetzt. Die Gruppe nutzt dabei vor allem bekannte Schwachstellen in drahtlosen Routern von Ruckus aus, darunter CVE-2020-22653, CVE-2020-22658 und CVE-2023-25717. Beobachtet wurden außerdem Nutzlasten für mehrere Architekturen, darunter MIPS, ARM und x64.
Nach Angaben von Talos identifizierten die Forscher drei IP-Adressen, die mit VPS-Instanzen verbunden sind und von UAT-7810 zum Herunterladen von Nutzlasten verwendet werden. Zusätzlich entdeckte Talos vier weitere Server, über die die APT schädliche Nutzlasten wie DogLeash sowie begleitende Shell-Skripte bereitstellt. Eine dieser IP-Adressen wurde laut Talos auch bei Angriffen auf Asus-AiCloud-Router eingesetzt, wahrscheinlich im Zusammenhang mit der mutmaßlichen ORB-Kampagne Operation WrtHug, die im November 2025 öffentlich beschrieben wurde.
Talos schreibt UAT-7810 außerdem eine Infrastrukturrolle für eine weitere China-nahe APT zu, die als UAT-5918 verfolgt wird. Zwar überschneiden sich die Werkzeuge beider Gruppen, Talos führt sie jedoch weiterhin als getrennte Akteure.
LongLeash erweitert laut Talos Funktionen, die zuvor bereits bei ShortLeash beobachtet wurden. Dazu zählen die Kommunikation mit Command-and-Control-Servern, das Hosten eines Webservers, die Verwaltung von Tunneln sowie die Fähigkeit, sowohl als C&C-Knoten als auch als Client zu agieren. Darüber hinaus kann die Backdoor als Zwischenserver dienen und Befehle sowie Daten vom C&C an andere Systeme weiterleiten. Talos zufolge basiert LongLeash weitgehend auf derselben Codebasis wie ShortLeash, enthält aber zusätzlich Code aus den Open-Source-Bibliotheken Nanopb und MbedTLS.
DogLeash beschreibt Talos als passive, in C geschriebene Backdoor. Sie wird über ein Shell-Skript installiert, das außerdem iptables-Regeln anlegt, damit TCP-Verkehr zu dem Port zugelassen wird, an den sich DogLeash bindet und auf dem die Backdoor lauscht. Abhängig von Code, den sie vom C&C erhält, kann die Malware Befehle ausführen, Dateien lesen, Dateien umbenennen, den Socket-Listener schließen, Informationen über das Betriebssystem abrufen und Code direkt im Speicher ausführen.
JarLeash ist eine Java-basierte Backdoor, die UAT-7810 laut Talos einen einfachen Zugang zu kompromittierten Systemen verschafft. Sie wird zusammen mit einem Skript eingesetzt, das zunächst alle anderen Instanzen der Backdoor beendet und anschließend einen Java-Container startet, um die Malware bereitzustellen. Talos zufolge kann JarLeash auch auf der internen Infrastruktur der APT selbst eingesetzt werden. Die Backdoor kann eine webbasierte Dateiverwaltung sowie FTP- und SFTP-Server bereitstellen und zudem einen Netcat-Server auf einer vorgegebenen IP-Adresse und Portnummer starten.
Außerdem beobachtete Talos die Entwicklung von LeashTest, einer Binärdatei zum Testen von Funktionen auf der MIPS-Plattform. Für sich genommen sei LeashTest nicht schädlich, könne aber als Kompromittierungsindikator dienen. Talos folgert daraus, dass UAT-7810 trotz des ausgereiften LongLeash-Frameworks weiterhin aktiv Funktionen auf MIPS-Plattformen prüft und womöglich noch nicht vollständig von dessen Verhalten auf MIPS-Geräten überzeugt ist.
