O grupo de ameaça persistente avançada UAT-7810, com origem vinculada à China, está expandindo a rede de proxy LapDogs com novos malwares, segundo análise da Cisco Talos divulgada em 7 de julho de 2026. O ator invade roteadores expostos da Ruckus e da ASUS e instala o novo framework LONGLEASH, transformando os dispositivos em nós de uma infraestrutura de ataque compartilhada com outros grupos.

O que é a rede LapDogs

LapDogs é uma Operational Relay Box (ORB) network: um conjunto de roteadores e dispositivos IoT comprometidos que servem como saltos intermediários para esconder a origem real de ataques. A rede veio à luz em junho de 2025 e desde então cresce pela exploração de vulnerabilidades antigas (n-day) em hardware de borda.

Componente Linguagem Função
LONGLEASH C/C++ (musl libc) Proxy HTTP, DNS, SOCKS, TCP, ICMP, UDP e C2 intermediário
DOGGLEASH C Backdoor para execução de shellcode em Linux
JARLEASH Java Ferramenta de administração remota (FTP, SFTP, Netcat)
LEASHTEST Binário MIPS Teste não malicioso de funcionalidade em dispositivos

Como os roteadores são invadidos

O UAT-7810 explora falhas conhecidas e não corrigidas em roteadores voltados para a internet. A mira principal são os roteadores sem fio Ruckus, por meio das CVE-2020-22653, CVE-2020-22658 e CVE-2023-25717. A campanha recente estendeu o alvo aos roteadores ASUS AiCloud através da CVE-2025-2492, evidenciando uma diversificação deliberada de hardware.

Após comprometer o dispositivo, o atacante instala o LONGLEASH por meio de scripts de inicialização. O implante abre portas no firewall do aparelho e passa a operar como servidor de comando e controle intermediário. O tráfico usa o User-Agent do Chrome 122 para se misturar ao tráfego web comum, e as comunicações usam MbedTLS para cifragem.

Por que ORB preocupa defensores

A Cisco Talos avalia com alta confiança que o UAT-7810 fornece a infraestrutura ORB para outros grupos chineses, como o UAT-5918, que mira infraestrutura crítica. O modelo deixa de ser acesso direto à vítima final e passa a ser a construção de camadas intermediárias que oferecem anonimato e resiliência a quem aluga os nós.

O desafio para defensores é duplo. Primeiro, o tráfego malicioso sai de IPs de roteadores residenciais e corporativos legítimos, o que dificulta bloqueio por reputação. Segundo, os dispositivos comprometidos raramente recebem atualizações de firmware e ficam ativos como nós por meses ou anos.

Como reduzir a exposição

  • Atualize o firmware de roteadores Ruckus e ASUS, e aplique os patches das CVE-2020-22653, CVE-2020-22658, CVE-2023-25717 e CVE-2025-2492.
  • Desative o acesso administrativo remoto (WAN) em roteadores e gateways; restrinja o painel à rede interna ou a uma VPN.
  • Monitore tráfego de saída incomum em portas não padrão, conexões SOCKS não autorizadas e User-Agent do Chrome 122 em dispositivos que não são estações de trabalho.
  • Aposente dispositivos sem suporte: hardware sem patches disponíveis é presa fácil para ORB networks.
  • Inventarie dispositivos IoT e roteadores de borda expostos à internet; muitos ataques entram por equipamentos esquecidos.

Fontes