Security

Hacker China Kembangkan Malware LONGLEASH untuk Memperluas Jaringan ORB

Kelompok hacker asal China yang dilacak dengan nama UAT-7810 dilaporkan terus mengembangkan arsenal malware mereka untuk memperluas jaringan Operational Relay Box (ORB). Dalam kampanye terbaru, para penyerang diketahui menargetkan perangkat jaringan yang terhubung ke internet, terutama router Ruckus yang belum mendapatkan pembaruan keamanan.

Temuan ini diungkap oleh peneliti dari Cisco Talos yang menyebut jaringan ORB digunakan sebagai infrastruktur relay bagi berbagai kelompok Advanced Persistent Threat (APT) yang berafiliasi dengan China, termasuk UAT-5918.

Jaringan ORB Digunakan untuk Menyamarkan Serangan

Konsep Operational Relay Box (ORB) sebelumnya telah didokumentasikan sebagai metode untuk menyamarkan aktivitas siber. Dengan mengompromikan perangkat jaringan di berbagai wilayah, pelaku dapat meneruskan lalu lintas serangan melalui perangkat lokal yang sah.

Teknik ini membuat aktivitas berbahaya tampak berasal dari infrastruktur di negara target, sehingga lebih sulit dideteksi sekaligus mempersulit proses atribusi terhadap pelaku sebenarnya.

LONGLEASH Hadir Sebagai Evolusi SHORTLEASH

Dalam investigasi terbaru, Cisco Talos menemukan sejumlah malware baru yang digunakan UAT-7810, yaitu:

  • LONGLEASH
  • DOGLEASH
  • JARLEASH
  • LEASHTEST

Di antara semuanya, LONGLEASH menjadi komponen utama karena merupakan pengembangan dari backdoor SHORTLEASH yang pertama kali dipublikasikan pada 2025.

Sebelumnya, SHORTLEASH telah mendukung komunikasi command-and-control (C2), hosting web server, pengelolaan network tunnel, serta dapat berfungsi sebagai server maupun klien C2.

Versi terbaru LONGLEASH menghadirkan berbagai kemampuan tambahan, antara lain:

  • Reverse shell.
  • Proxy untuk HTTP, DNS, SOCKS, TCP, ICMP, dan UDP beserta pengalihan lalu lintas.
  • Fungsi SMTP client dan server.
  • Dukungan TLS dan PKI.
  • Kemampuan menghapus dirinya sendiri apabila mendeteksi upaya analisis atau aktivitas mencurigakan.
  • Berfungsi sebagai server C2 perantara yang meneruskan perintah dan data antar perangkat yang telah terinfeksi.

Kemampuan tersebut membuat LONGLEASH jauh lebih fleksibel dalam membangun jaringan relay sekaligus mempertahankan keberlangsungan operasi.

Eksploitasi Router yang Belum Ditambal

Untuk memperoleh akses awal ke perangkat korban, UAT-7810 memanfaatkan berbagai kerentanan yang telah diketahui publik (n-day vulnerabilities).

Beberapa celah keamanan yang menjadi sasaran meliputi:

  • CVE-2020-22653 pada router Ruckus.
  • CVE-2020-22658 pada router Ruckus.
  • CVE-2023-25717 pada router Ruckus.
  • CVE-2025-2492 pada router ASUS AiCloud.

Fokus utama mereka adalah perangkat yang belum menerima patch keamanan sehingga masih rentan terhadap eksploitasi.

DOGLEASH, JARLEASH, dan LEASHTEST Lengkapi Toolset

Selain LONGLEASH, peneliti juga mengidentifikasi beberapa komponen pendukung baru.

DOGLEASH merupakan backdoor Linux berukuran ringan yang dipasang melalui web shell. Malware ini membuka port TCP untuk menerima koneksi dan menggunakan password yang telah ditanamkan di dalam kode sebagai mekanisme autentikasi.

DOGLEASH memungkinkan pelaku untuk:

  • Menjalankan perintah shell.
  • Membaca dan memodifikasi file.
  • Mengambil informasi sistem operasi.
  • Menjalankan kode langsung di memori perangkat.

Sementara itu, JARLEASH adalah alat administrasi berbasis Java yang menyediakan antarmuka web untuk manajemen file. Tool ini juga memiliki fungsi sebagai server FTP, SFTP, dan Netcat sehingga mempermudah pengelolaan perangkat yang telah berhasil dikompromikan.

Adapun LEASHTEST digunakan untuk menguji apakah perangkat IoT berbasis arsitektur MIPS mampu menjalankan fungsi-fungsi yang dibutuhkan malware. Utilitas ini diyakini membantu pelaku meningkatkan kompatibilitas LONGLEASH pada berbagai perangkat jaringan.

Infrastruktur ORB Terus Berkembang

Cisco Talos menyimpulkan bahwa UAT-7810 secara aktif memperluas infrastruktur ORB miliknya dengan menggantikan maupun melengkapi SHORTLEASH menggunakan LONGLEASH yang memiliki kemampuan lebih lengkap.

Strategi tersebut menunjukkan bahwa kelompok ini tidak hanya mempertahankan akses ke perangkat yang telah diretas, tetapi juga terus meningkatkan kemampuan operasionalnya melalui pengembangan malware baru dan eksploitasi router yang belum diperbarui.

Bagi organisasi maupun pengguna yang masih menggunakan perangkat jaringan rentan, penerapan patch keamanan terbaru serta pembatasan akses ke antarmuka administrasi menjadi langkah penting untuk mengurangi risiko kompromi.

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button