Son analizler, Çin bağlantılı bir tehdit aktörü olan UAT-7810’in, internete açık ağ cihazlarına sızarak Operasyonel Röle Kutusu (ORB) ağını genişletmek için özel geliştirdiği zararlı yazılımı yenilemeye devam ettiğini gösteriyor.
Saldırının Genel Çerçevesi
UAT-7810, 2025’in ortalarında keşfedilen ve LapDogs adı verilen ORB ağının başlıca mimarı olarak tanımlanıyor. Bu ağ, farklı tehdit aktörlerinin yüksek değerli hedeflere yönelik saldırılar düzenleyebilmesi için altyapı sağlıyor. Araştırmacıların teknik incelemesine göre, UAT-7810 sadece kendi saldırı operasyonlarını yürütmekle kalmıyor; aynı zamanda bu ağı kiralık bir servis gibi kullanıma açıyor.
Örneğin, Çin bağlantılı bir başka grup olan UAT-5918, 2023’ten beri Tayvan’daki kritik altyapı kurumlarına yönelik saldırılarda bu ORB altyapısını kullanıyor. Amaç, hedef sistemlerde kalıcı erişim sağlamak ve burada uzun süreli siber casusluk faaliyetleri yürütmek.
Saldırı Zinciri ve Teknik Detaylar
UAT-7810’in kullandığı zararlı yazılım ailesi ShortLeash’in yeni evrimi LONGLEASH, gelişmiş özelliklerle donatılmış. LONGLEASH; HTTP, DNS, SOCKS, TCP, ICMP ve UDP gibi protokollerde proxy işlevi görebiliyor, komut ve kontrol (C2) sunucusu olarak hem istemci hem de sunucu tarafında görev yapabiliyor. Bu sayede saldırganlar, ağ içindeki trafiği daha esnek ve gizli şekilde yönlendirebiliyor.
Öte yandan, yeni keşfedilen DOGLEASH adlı pasif arka kapı Linux sistemlerde rastgele shellcode çalıştırabiliyor. LEASHTEST ise, MIPS tabanlı gömülü cihazlarda iş parçacığı, alt işlem veya asenkron zamanlayıcı gibi fonksiyonları test etmek için kullanılıyor. Ayrıca JARLEASH isimli Java tabanlı bir arka kapı da, dosya yönetimi ve FTP/SFTP işlemleri için bazı sunucularda aktif halde bulunmuş.
Saldırılar çoğunlukla yamalanmamış Ruckus marka kablosuz yönlendiricilerde bilinen zafiyetler (ör. CVE-2020-22653, CVE-2020-22658, CVE-2023-25717) üzerinden gerçekleşiyor. Bu yılın başlarında ASUS AiCloud yönlendiricilerdeki CVE-2025-2492 zafiyetinin de hedef alındığı gözlemlenmiş. Tüm bu girişimler, ORB ağının daha fazla cihaz ve lokasyonda genişletilmek istendiğini gösteriyor.
UAT-7810’in Geliştirme ve Test Süreci
LONGLEASH, öncüsü ShortLeash’e kıyasla çok daha karmaşık işlevler barındırıyor. Örneğin, implantı kaldırma ve sunucudan tüm izleri temizleme yeteneği mevcut. Ancak LEASHTEST aracının kullanılması, UAT-7810’in MIPS tabanlı cihazlarda henüz tam anlamıyla güvenilir ve stabil çalışmayı yakalayamadığını düşündürüyor. Bu durum, tehdit aktörünün aktif bir test ve geliştirme evresinde olduğunu ortaya koyuyor.
Uzmanlara Göre Kurumsal Ortamlarda Alınacak Önlemler
Bu tür gelişmiş tehditlere karşı sistem yöneticilerinin Ruckus ve ASUS gibi yaygın kullanılan ağ cihazlarını güncel tutması kritik. Ayrıca, ağ segmentasyonu uygulamak ve cihazların dış erişimlerini kısıtlamak saldırı yüzeyini azaltır. EDR çözümleri ile anormal ağ trafiği ve bilinmeyen implantlar erken tespit edilebilir. Son olarak, FTP/SFTP gibi dosya transfer protokollerinde güçlü kimlik doğrulama ve erişim kontrolü şart.
Siber güvenlik ekiplerinin bu tür gelişmelerde olay müdahale süreçlerini gözden geçirmesi ve bulut güvenliği ile e-posta güvenliği politikalarını da entegre bir şekilde yönetmesi gerekiyor. Çünkü bu saldırılar genellikle karmaşık zincirler kurarak hedef sistemde uzun süre kalıcı kalmayı hedefliyor.
UAT-7810 vakası, devlet destekli APT gruplarının ağ cihazları üzerinden kurdukları gizli altyapının nasıl sürekli evrildiğini ve saldırı araçlarının ne kadar sofistike hale geldiğini gösteriyor. Siber güvenlik dünyasında bu tip tehditlerin izlenmesi ve erken müdahale, kritik kurumlar için hayati önem taşıyor.
