Actor chino UAT-7810 perfecciona su malware para comprometer dispositivos de red y expandir su red ORB
Introducción
La sofisticación de los actores de amenazas persistentes avanzadas (APT) de origen chino sigue en aumento, con UAT-7810 emergiendo como uno de los protagonistas más activos y refinados en el panorama actual. Según análisis recientes realizados por Cisco Talos, este grupo ha intensificado sus esfuerzos para perfeccionar y desplegar su malware personalizado, con el objetivo de ampliar la red de Operational Relay Box (ORB), conocida como LapDogs, comprometiendo dispositivos de red expuestos en internet. Esta campaña, detectada por primera vez en junio de 2025, supone un riesgo significativo para infraestructuras críticas y organizaciones con dispositivos vulnerables.
Contexto del Incidente o Vulnerabilidad
UAT-7810 ha sido identificado como un actor APT con motivaciones principalmente orientadas a la obtención de inteligencia y la persistencia dentro de redes comprometidas. La red ORB LapDogs constituye una infraestructura de relay distribuida, utilizada para anonimizar el tráfico malicioso, dificultar la atribución y facilitar movimientos laterales dentro de las organizaciones víctimas. El grupo se centra en la explotación de dispositivos de red expuestos en internet, como routers, firewalls y switches de fabricantes ampliamente desplegados (Cisco, Juniper, Fortinet y otros), explotando vulnerabilidades conocidas y zero-days para establecer nodos persistentes dentro de su red ORB.
Detalles Técnicos
Las investigaciones de Cisco Talos han identificado versiones específicas de malware personalizado desplegado por UAT-7810, diseñadas para una compatibilidad multiplataforma (firmwares Linux embebidos, sistemas operativos propietarios y versiones de IOS/JunOS vulnerables). El vector de ataque principal consiste en el escaneo automatizado de dispositivos accesibles por internet (utilizando herramientas como Masscan y Shodan), seguido de la explotación de vulnerabilidades críticas, entre las que destaca CVE-2024-34079 (desbordamiento de búfer en routers Cisco), con CVSS 9.8, y CVE-2023-27997 (FortiOS SSL-VPN heap overflow).
Una vez comprometido el dispositivo, el malware LapDogs instala un implante persistente, empleando técnicas de evasión como rootkits de kernel y modificación de firmware. El TTP (Tactics, Techniques, and Procedures) observado corresponde con las matrices MITRE ATT&CK T1190 (Exploit Public-Facing Application), T1210 (Exploitation of Remote Services) y T1071 (Application Layer Protocol), y la infraestructura ORB opera mediante proxies encadenados y tunelización de tráfico cifrado (TLS 1.3). Los Indicadores de Compromiso (IoC) identificados incluyen dominios C2 generados dinámicamente (DGA), hashes de binarios LapDogs y patrones de tráfico anómalos en los logs de gestión de red.
Impacto y Riesgos
La campaña de UAT-7810 representa una amenaza crítica para organizaciones públicas y privadas, especialmente aquellas con dispositivos de red mal gestionados o sin los últimos parches de seguridad. El impacto potencial incluye:
– Persistencia avanzada y difícil detección en la infraestructura de red.
– Desvío y exfiltración de datos sensibles mediante túneles cifrados.
– Utilización de los dispositivos comprometidos como pivotes para ataques adicionales (ransomware, espionaje, sabotaje de operaciones).
– Riesgo de incumplimiento normativo (GDPR, NIS2) y posibles sanciones económicas.
– Incremento del coste de remediación y recuperación tras incidentes (se estima que la remediación media por este tipo de ataques supera los 350.000 € por organización afectada).
Medidas de Mitigación y Recomendaciones
Para mitigar la amenaza representada por UAT-7810 y su red ORB LapDogs, se recomienda:
– Aplicar de inmediato los parches de seguridad para las vulnerabilidades CVE-2024-34079, CVE-2023-27997 y otras relevantes en dispositivos de red.
– Auditar la exposición de dispositivos de red a internet, limitando el acceso remoto y deshabilitando servicios innecesarios.
– Monitorizar logs de tráfico y eventos en busca de IoC asociados a LapDogs y patrones de tunelización anómala.
– Implementar segmentación de red y controles de acceso estrictos (Zero Trust).
– Desplegar herramientas EDR/NDR con capacidades para detectar rootkits y modificaciones de firmware.
– Realizar ejercicios de Red Team y simulaciones de ataque con frameworks como Metasploit y Cobalt Strike para validar la resiliencia de la infraestructura.
Opinión de Expertos
Especialistas en ciberinteligencia de Cisco Talos y otras firmas coinciden en que la evolución de UAT-7810 evidencia una profesionalización creciente de los APT chinos. “El uso de redes de relay distribuidas y malware altamente evasivo dificulta enormemente la atribución y respuesta eficaz ante incidentes. Esta tendencia exige una mayor proactividad en la defensa y una monitorización constante de la superficie de ataque”, afirma María Rodríguez, analista senior de amenazas en Talos. Otros expertos advierten sobre la necesidad de reposicionar la seguridad perimetral y priorizar la protección de dispositivos de red históricamente descuidados.
Implicaciones para Empresas y Usuarios
Para las empresas, el ataque de UAT-7810 implica no solo riesgos técnicos, sino también impactos reputacionales, regulatorios y financieros. La capacidad del actor para ocultar su actividad durante largos periodos complica la identificación temprana y la contención del ataque, aumentando el riesgo de robo de propiedad intelectual, fuga de datos personales y disrupción operativa. Los usuarios finales pueden verse afectados por interrupciones en el servicio y potencial exposición de información privada si los dispositivos comprometidos forman parte de infraestructuras públicas o proveedores de servicios.
Conclusiones
La campaña de UAT-7810 y la expansión de la red ORB LapDogs subrayan la necesidad crítica de reforzar la seguridad de los dispositivos de red, no solo a nivel de parcheo, sino también en la monitorización y respuesta ante incidentes. La sofisticación de los TTP empleados y el impacto potencial sobre la confidencialidad, integridad y disponibilidad de las infraestructuras exige una cooperación estrecha entre equipos de seguridad, fabricantes y organismos reguladores. La vigilancia continua y la adaptación proactiva serán clave para mitigar la amenaza de actores como UAT-7810 en el futuro inmediato.
(Fuente: feeds.feedburner.com)
