Giriş
Son günlerde, ‘UAT-7810’ adıyla anılan Çinli siber saldırganlar, internetle bağlantılı ağ cihazlarını hedef alarak, malware’lerini geliştirmekte ve Operational Relay Box (ORB) ağlarını genişletmektedirler. Bu durum, siber güvenlik alanında büyük bir tehdit oluşturmakta ve uluslararası bilgi güvenliği perspektifinden endişe verici bir gelişme göstermektedir.
Saldırı Nasıl Çalışıyor?
Cisco Talos araştırmacıları, UAT-7810 grubunun, bilinen (n-gün) güvenlik açıklarını kullanarak ilk erişim sağladığını belirtmektedir. Bu saldırılar,
- CVE-2020-22653
- CVE-2020-22658
- CVE-2023-25717
- CVE-2025-2492 ise ASUS AiCloud router’ları üzerinde etkili olmaktadır.
Ruckus router’ları üzerinde,
Bu tür bir altyapı, tehdit aktörlerine bölgesel cihazlar üzerinden ağ trafiğini yönlendirme imkanı tanıyarak, bunu hikâye ediliyormuş gibi göstermekte ve tespit edilme olasılığını azaltmaktadır.
Etkilenen Sistemler
UAT-7810, çalışan malware çeşitleri ve yetenekleri ile dikkat çekmektedir. Cisco Talos’un tanımladığı yeni malware’lerden bazıları şunlardır:
- LONGLEASH: Önceden belgelenmiş SHORTLEASH backdoor’un gelişmiş bir versiyonu.
- DOGLEASH: Web shell scriptleri aracılığıyla dağıtılan hafif bir Linux backdoor.
- JARLEASH: Java tabanlı bir yönetim aracı.
- LEASHTEST: Malware operasyonları ile ilişkili işlevlerin doğrulanmasında kullanılan bir test aracı.
LONGLEASH Malware
LONGLEASH, C2 (Command and Control) iletişimini destekleyen, web sunucusu barındırma, ağ tünelleme yönetimi gibi işlevleri içeren bir malware’dir. Yeni özellikleri arasında şunlar bulunmaktadır:
- Reverse shell
- HTTP, DNS, SOCKS, TCP, ICMP, ve UDP proxy ile trafik yönlendirme
- SMTP istemci/sunucu işlevselliği
- TLS ve PKI desteği
- Tampering gibi şüpheli aktivitelerde kendini silme yeteneği
- Enfekte olmuş düğümler arasında komut ve veri ileten ara bir C2 sunucusu olarak işlev görme
DOGLEASH, JARLEASH ve LEASHTEST
DOGLEASH, TCP bağlantısını dinleyen ve hardcoded bir şifre ile gelen istekleri doğrulayan bir Linux backdoor’dur. Bu backdoor, shell komutları çalıştırma, dosya erişimi ve modifikasyonu, işletim sistemi bilgisi alma ve bellek üzerinde rastgele kod çalıştırma yeteneklerine sahiptir.
JARLEASH, web tabanlı dosya yönetimi sağlayan ve FTP, SFTP ve Netcat sunucu işlevselliği sunan Java tabanlı bir yönetim aracıdır.
LEASHTEST ise, MIPS IoT cihazlarının malware operasyonları ile ilişkili işlevleri yerine getirip getiremeyeceğini kontrol etmek için tasarlanmış bir araçtır.
Çözüm ve Korunma
Cisco Talos, UAT-7810’ın ORB altyapısını genişletmeye devam ettiğini ve daha yetenekli LONGLEASH ile SHORTLEASH’ı değiştirdiğini vurgulamaktadır. Bu bağlamda aşağıdaki önlemlerin alınması önerilmektedir:
- Güvenlik açıkları için güncellemelerin yapılması (özellikle CVE-2020-22653, CVE-2020-22658, CVE-2023-25717 ve CVE-2025-2492).
- Gereksiz portların kapatılması.
- Ağ izleme ve saldırı tespit sistemlerinin güncellenmesi.
Sonuç olarak, sistemlerinizi güvenli tutmak için güncellemeleri derhal yapmalı ve ağ altyapınızı gözden geçirerek önlemler almalısınız.


