Giriş
Çin merkezli bir tehdit aktörü olan UAT-7810, internet erişimli ağ cihazlarına sızarak özelleştirilmiş kötü amaçlı yazılımını geliştirmeye devam ediyor. Bu durum, siber güvenlik açısından son derece ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
UAT-7810, Operasyonel Röle Kutusu (ORB) ağları kurarak bunları diğer ikincil tehdit aktörlerinin yüksek değerli hedeflere yönelik siber saldırılarında kullanmalarını sağlamayı hedefliyor. Araştırmacılar, bu aktörün LapDogs adlı ORB ağını sürdürmekle sorumlu olduğunu belirtmektedirler.
UAT-7810’ın geliştirdiği özel kötü amaçlı yazılım ShortLeash ve onun yeni versiyonu LONGLEASH gibi araçlar içermektedir. Ayrıca, daha önce hiç rapor edilmemiş olan iki yeni araç kullanılmaktadır:
- DOGLEASH: Hedef alınan Linux cihazlar üzerinde keyfi shell kodu çalıştırabilen pasif bir arka kapı.
- LEASHTEST: MIPS tabanlı gömülü cihazlar üzerinde belirli işlevsellikleri test etmek için kullanılan bir ELF ikili dosyası.
UAT-7810, hedeflerde DOGLEASH’ın çeşitli küçük varyasyonlarını dağıtmak için en az dört yeni sunucu kullanmış ve aynı zamanda JARLEASH adını verdiği bir Java tabanlı arka kapı da kullanmıştır.
Etkilenen Sistemler
Hacking grubu, yamanmamış Ruckus wireless router cihazlarında bilinen güvenlik açıklarını hedef alarak saldırı zincirleri oluşturmaktadır. Öne çıkan güvenlik açıkları şunlardır:
Bunun yanı sıra, ASUS AiCloud Routers üzerine yapılan kampanyalar da CVE-2025-2492 üzerinden gerçekleştirilmektedir.
Çözüm ve Korunma
UAT-7810’ın geliştirdiği ShortLeash ve LONGLEASH, arka kapı işlevi görerek dış sunucularla iletişim kurmakta ve zararlı komutlar göndermektedir. Bu tehditlere karşı almanız gereken önlemler şunlardır:
- Ağda yer alan tüm cihazların yazılımlarını güncelleyin.
- Bilinen güvenlik açıklarına karşı gerekli yamaları uygulayın.
- Gerekirse, şüpheli cihaz portlarını kapatın.
Aksiyon
Sonuç olarak, bu tür tehditlere karşı proaktif önlemler almak büyük önem taşımaktadır. Cihazlarınızı derhal güncelleyerek ve güvenlik açıklarına karşı yamaları uygulayarak normal faaliyetlerinizi sürdürmenizi öneririz.


