Le groupe chinois UAT-7810 étend son réseau ORB furtif via l’IoT
2026-07-08 13:56
Favoris

fr.wedoany.com Rapport : Un acteur menaçant chinois, désigné sous le nom de code UAT-7810, continue d’étendre sa boîte à outils malveillants afin de développer un réseau d’agents relais (ORB) construit à partir de routeurs et d’appareils IoT compromis. Selon un rapport de recherche publié par Cisco Talos le 7 juillet 2026, ce groupe est passé du backdoor SHORTLEASH, précédemment découvert, à une variante plus puissante nommée LONGLEASH, et a ajouté DOGLEASH, JARLEASH ainsi qu’un outil de test appelé LEASHTEST.

Le groupe chinois UAT-7810 étend son réseau ORB furtif via l’IoT

Le réseau ORB est décrit comme un hybride entre une structure VPN traditionnelle et un botnet. Des organisations telles que Team Cymru et Mandiant ont largement documenté ce type d’infrastructure. Les attaquants acheminent le trafic via des appareils d’apparence normale dans la région afin de masquer la véritable source de leurs activités. Les recherches de Mandiant indiquent qu’au moins depuis 2024, les acteurs APT liés à la Chine se tournent de plus en plus vers ces réseaux de proxy distribués, utilisant des serveurs privés virtuels, des appareils IoT et des routeurs SOHO compromis pour dissimuler les chemins de commande et de contrôle. Cisco Talos souligne que UAT-7810 exploite plusieurs vulnérabilités connues, notamment CVE-2020-22653, CVE-2020-22658 et CVE-2023-25717 dans les routeurs Ruckus, ainsi que CVE-2025-2492 dans les appareils AiCloud d’Asus. Il s’agit de vulnérabilités connues et non de failles zero-day, ce qui met en évidence le problème persistant des appareils connectés à Internet qui restent longtemps sans correctifs.

Le backdoor LONGLEASH, récemment découvert, étend considérablement les capacités par rapport au SHORTLEASH original documenté par SecurityScorecard en 2025. Ce logiciel malveillant prend désormais en charge un shell inversé, ainsi qu’un proxy multi-protocole via HTTP, DNS, SOCKS, TCP, ICMP et UDP. Il intègre également des fonctions client et serveur SMTP, avec prise en charge de TLS et PKI. Il peut se supprimer automatiquement en cas de détection de falsification ou d’activité suspecte, gérer des tunnels, et servir de nœud de commande et de contrôle intermédiaire en relayant les instructions et les données entre les appareils infectés. Cet outil s’inscrit dans un écosystème d’espionnage plus large, contribuant à créer une structure maillée permettant à d’autres APT liés à la Chine, dont UAT-5918, de transiter par celui-ci.

DOGLEASH et JARLEASH illustrent l’approche modulaire de UAT-7810. DOGLEASH est un backdoor Linux léger déployé via un script Web Shell. Il ouvre un port TCP d’écoute et valide les requêtes entrantes à l’aide d’un mot de passe codé en dur, prenant en charge l’exécution de commandes shell, l’accès aux fichiers et l’exécution de code arbitraire en mémoire. JARLEASH est un outil de gestion Java offrant une gestion de fichiers basée sur le Web ainsi que des fonctionnalités de serveur FTP, SFTP et Netcat. LEASHTEST, quant à lui, se concentre sur la vérification de la capacité des appareils IoT MIPS à exécuter des fonctions liées aux opérations malveillantes, indiquant que les attaquants testent systématiquement les limitations matérielles avant de déployer de nouveaux outils à grande échelle.

Les analystes du secteur suivent depuis longtemps cette évolution tactique. La communauté de l’IEEE (Institute of Electrical and Electronics Engineers) a débattu à plusieurs reprises des risques liés aux appareils périphériques non gérés, notamment le fait que les routeurs (domestiques) bon marché et les caméras IP continuent d’être livrés avec des micrologiciels obsolètes. Gartner, dans son périmètre de couverture des opérations de sécurité, souligne que les infrastructures de commande distribuées obligent souvent les organisations à repenser la manière de surveiller le trafic est-ouest dans leur environnement. Le GAO (Government Accountability Office des États-Unis), dans son examen continu de la préparation à la cybersécurité fédérale, note que les agences ont parfois du mal à maintenir un inventaire précis des appareils connectés, ce qui peut créer des angles morts.

L’analyse de Cisco Talos souligne que UAT-7810 dépend fortement des vulnérabilités connues. Les délais de correction et les inventaires d’actifs déterminent le degré d’exposition de manière très concrète. Les capacités rapportées s’alignent sur des cadres tels que le cadre de cybersécurité du National Institute of Standards and Technology (NIST) et la matrice MITRE ATT&CK. Les réseaux ORB relèvent d’un hybride des techniques ATT&CK liées au commandement et au contrôle, aux proxys et à l’utilisation d’infrastructures compromises.

Cisco Talos conclut que UAT-7810 remplace ou étend activement ses anciens déploiements SHORTLEASH par LONGLEASH, tout en élargissant sa couverture globale en exploitant des appareils compromis via des vulnérabilités de type n-day. L’évaluation de ce groupe reflète une nouvelle normalité émergente : les opérateurs d’espionnage n’investissent pas seulement dans des outils d’intrusion, mais aussi dans des infrastructures durables conçues pour résister aux démantèlements.

Ce texte est rédigé, traduit et republié à partir des informations de l'Internet mondial et de partenaires stratégiques, uniquement pour la communication entre lecteurs. En cas d'infraction au droit d'auteur ou d'autres problèmes, veuillez nous en informer à temps pour la modification ou la suppression. La reproduction de cet article est strictement interdite sans autorisation formelle. Mail : news@wedoany.com
Produits Associés