O grupo de ameaça persistente avançada UAT-7810, com origem vinculada à China, está expandindo a rede de proxy LapDogs com novos malwares, segundo análise da Cisco Talos divulgada em 7 de julho de 2026. O ator invade roteadores expostos da Ruckus e da ASUS e instala o novo framework LONGLEASH, transformando os dispositivos em nós de uma infraestrutura de ataque compartilhada com outros grupos.
O que é a rede LapDogs
LapDogs é uma Operational Relay Box (ORB) network: um conjunto de roteadores e dispositivos IoT comprometidos que servem como saltos intermediários para esconder a origem real de ataques. A rede veio à luz em junho de 2025 e desde então cresce pela exploração de vulnerabilidades antigas (n-day) em hardware de borda.
| Componente | Linguagem | Função |
|---|---|---|
| LONGLEASH | C/C++ (musl libc) | Proxy HTTP, DNS, SOCKS, TCP, ICMP, UDP e C2 intermediário |
| DOGGLEASH | C | Backdoor para execução de shellcode em Linux |
| JARLEASH | Java | Ferramenta de administração remota (FTP, SFTP, Netcat) |
| LEASHTEST | Binário MIPS | Teste não malicioso de funcionalidade em dispositivos |
Como os roteadores são invadidos
O UAT-7810 explora falhas conhecidas e não corrigidas em roteadores voltados para a internet. A mira principal são os roteadores sem fio Ruckus, por meio das CVE-2020-22653, CVE-2020-22658 e CVE-2023-25717. A campanha recente estendeu o alvo aos roteadores ASUS AiCloud através da CVE-2025-2492, evidenciando uma diversificação deliberada de hardware.
Após comprometer o dispositivo, o atacante instala o LONGLEASH por meio de scripts de inicialização. O implante abre portas no firewall do aparelho e passa a operar como servidor de comando e controle intermediário. O tráfico usa o User-Agent do Chrome 122 para se misturar ao tráfego web comum, e as comunicações usam MbedTLS para cifragem.
Por que ORB preocupa defensores
A Cisco Talos avalia com alta confiança que o UAT-7810 fornece a infraestrutura ORB para outros grupos chineses, como o UAT-5918, que mira infraestrutura crítica. O modelo deixa de ser acesso direto à vítima final e passa a ser a construção de camadas intermediárias que oferecem anonimato e resiliência a quem aluga os nós.
O desafio para defensores é duplo. Primeiro, o tráfego malicioso sai de IPs de roteadores residenciais e corporativos legítimos, o que dificulta bloqueio por reputação. Segundo, os dispositivos comprometidos raramente recebem atualizações de firmware e ficam ativos como nós por meses ou anos.
Como reduzir a exposição
- Atualize o firmware de roteadores Ruckus e ASUS, e aplique os patches das CVE-2020-22653, CVE-2020-22658, CVE-2023-25717 e CVE-2025-2492.
- Desative o acesso administrativo remoto (WAN) em roteadores e gateways; restrinja o painel à rede interna ou a uma VPN.
- Monitore tráfego de saída incomum em portas não padrão, conexões SOCKS não autorizadas e User-Agent do Chrome 122 em dispositivos que não são estações de trabalho.
- Aposente dispositivos sem suporte: hardware sem patches disponíveis é presa fácil para ORB networks.
- Inventarie dispositivos IoT e roteadores de borda expostos à internet; muitos ataques entram por equipamentos esquecidos.