สรุปสั้น

นักวิจัยจากบริษัท Cisco Talos เปิดเผยว่ากลุ่มแฮ็กเกอร์จีนที่ถูกติดตามในชื่อ UAT-7810 กำลังพัฒนามัลแวร์ของตนอย่างต่อเนื่องเพื่อขยายเครือข่าย ORB (Operational Relay Box) ด้วยการเจาะอุปกรณ์เครือข่ายที่เชื่อมต่ออินเทอร์เน็ต โดยเฉพาะเราเตอร์ Ruckus ที่ไม่ได้รับการแพตช์ เครือข่าย ORB นี้ทำหน้าที่เป็นโครงสร้างพื้นฐานรีเลย์ (relay) ที่ปลอดภัยให้กับกลุ่มภัยคุกคามขั้นสูง (APT) ที่เชื่อมโยงกับจีนกลุ่มอื่นๆ รวมถึงกลุ่ม UAT-5918 ด้วย โครงสร้างแบบนี้ซึ่งเคยถูกบันทึกไว้ก่อนหน้าโดย Google Mandiant ช่วยให้ผู้โจมตีส่งทราฟฟิกเครือข่ายผ่านอุปกรณ์ในภูมิภาค ทำให้ดูเหมือนว่าการเชื่อมต่อมาจากโครงสร้างพื้นฐานท้องถิ่นที่ถูกกฎหมาย เพื่อหลบการตรวจจับและทำให้การระบุตัวผู้โจมตี (attribution) ซับซ้อนยิ่งขึ้น

นักวิเคราะห์ของ Talos ระบุมัลแวร์ใหม่หลายตัวในแคมเปญนี้ ได้แก่ LONGLEASH ซึ่งเป็นเวอร์ชันใหม่ของแบ็กดอร์ SHORTLEASH ที่เคยถูกบันทึกไว้, DOGLEASH ซึ่งเป็นแบ็กดอร์บน Linux, JARLEASH ซึ่งเป็นเครื่องมือดูแลระบบ และ LEASHTEST ซึ่งเป็นยูทิลิตีทดสอบ โดยกลุ่ม UAT-7810 อาศัยช่องโหว่ที่รู้จักแล้ว (n-day) เป็นหลักในการเข้าถึงระบบครั้งแรก รวมถึง CVE-2020-22653, CVE-2020-22658 และ CVE-2023-25717 ในเราเตอร์ Ruckus ตลอดจน CVE-2025-2492 ในเราเตอร์ ASUS AiCloud

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 7 กรกฎาคม 2569 อ้างอิงงานวิจัยของบริษัท Cisco Talos ว่ากลุ่ม UAT-7810 กำลังเปลี่ยนหรือขยาย SHORTLEASH ด้วย LONGLEASH ที่มีความสามารถสูงกว่าอย่างต่อเนื่อง พร้อมทั้งขยายชุดเครื่องมือด้วยมัลแวร์ใหม่อีกหลายตัว โดย Talos ประเมินด้วยความมั่นใจสูงว่า UAT-7810 เป็นกลุ่มที่เชื่อมโยงกับจีน และเป็นผู้ดูแลและขยายเครือข่าย ORB ที่ชื่อ LapDogs ซึ่ง SecurityScorecard เปิดเผยครั้งแรกในปี 2025

เครือข่าย ORB คือแนวคิดที่ผู้โจมตีระดับรัฐใช้กันมากขึ้น โดยรวบรวมอุปกรณ์ที่ถูกเจาะ เช่น เราเตอร์และอุปกรณ์ IoT มาเป็นเครือข่ายพร็อกซีสำหรับส่งต่อทราฟฟิก แทนการใช้เซิร์ฟเวอร์ควบคุมของตนโดยตรง เมื่อทราฟฟิกโจมตีวิ่งผ่านอุปกรณ์ในภูมิภาคของเป้าหมาย การเชื่อมต่อจึงดูเหมือนมาจากผู้ใช้หรือองค์กรท้องถิ่นที่ถูกกฎหมาย ทำให้ทีมป้องกันแยกแยะทราฟฟิกอันตรายออกจากทราฟฟิกปกติได้ยาก และทำให้การสืบสาวว่าใครอยู่เบื้องหลังการโจมตีทำได้ยากขึ้นมาก การที่ UAT-7810 สร้างและดูแลโครงสร้างนี้ให้กับกลุ่ม APT จีนหลายกลุ่ม จึงเท่ากับเป็นผู้ให้บริการโครงสร้างพื้นฐานปกปิดร่องรอยในระบบนิเวศการโจมตีของจีน

รายละเอียดช่องโหว่

มัลแวร์ LONGLEASH ที่เพิ่งค้นพบเป็นเวอร์ชันอัปเกรดของ SHORTLEASH ซึ่งบริษัท SecurityScorecard บันทึกไว้ครั้งแรกในปี 2025 และขยายความสามารถออกไปอย่างมีนัยสำคัญ มัลแวร์ตัวนี้ต่อยอดจากเวอร์ชันก่อนที่รองรับการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2), การโฮสต์เว็บเซิร์ฟเวอร์, การจัดการอุโมงค์เครือข่าย (network tunnel) และการทำงานเป็นได้ทั้งเซิร์ฟเวอร์และไคลเอนต์ของ C2 นอกจากความสามารถเดิม นักวิจัย Talos ยังพบความสามารถใหม่เพิ่มเติม ได้แก่ reverse shell, การทำพร็อกซีผ่านโปรโตคอล HTTP, DNS, SOCKS, TCP, ICMP และ UDP พร้อมเปลี่ยนเส้นทางทราฟฟิก, การทำงานเป็นไคลเอนต์/เซิร์ฟเวอร์ SMTP, การรองรับ TLS และ PKI, การถอนตัวเอง (self-removal) เมื่อตรวจพบการงัดแงะหรือกิจกรรมน่าสงสัย และความสามารถทำหน้าที่เป็นเซิร์ฟเวอร์ C2 ตัวกลางที่ส่งต่อคำสั่งและข้อมูลระหว่าง node ที่ติดมัลแวร์

ในเชิงเทคนิค LONGLEASH สร้างจากซอร์สโค้ดชุดเดียวกับ SHORTLEASH โดยทั้งคู่มีชื่อภายในว่า “ff-agent” ส่วนโปรเจกต์ของ LONGLEASH ใช้ชื่อภายในว่า “nz1.0” และแบ่งเป็นสามองค์ประกอบหลักคือ Base (ส่วน logging และยูทิลิตี เช่น การเข้ารหัส/ถอดรหัส Base58 และ Base64), Executor (ส่วนหลักที่ทำ proxy, reverse shell, redirect ทราฟฟิก, SMTP, จัดการ TLS/PKI, ยืนยันตัวไคลเอนต์ และลบตัวเองเมื่อพบการงัดแงะ) และ Core (ส่วนยืนยันตัวตน node, เข้ารหัส HTTP, ประมวลผลข้อความแบบ protobuf, ตรวจ checksum SHA และจัดการงาน) เวอร์ชันที่คอมไพล์สำหรับหน่วยประมวลผล MIPS สร้างบนไลบรารี Boost.Asio แบบ asynchronous เพื่อลดเวลาหน่วงและเพิ่มประสิทธิภาพเครือข่าย จุดที่น่าสนใจคือมัลแวร์ฝัง User-Agent string ปลอมเป็น “Chrome 122 บน Windows” เพื่อกลมกลืนกับทราฟฟิกปกติ และใช้ไลบรารีโอเพนซอร์สอย่าง Nanopb (ประมวลผล protobuf), MbedTLS (จัดการ TLS และใบรับรอง x509) และไลบรารี libc ขนาดเล็ก musl แทน libc มาตรฐาน

นอกจาก LONGLEASH นักวิจัยยังค้นพบ DOGLEASH ซึ่งเป็นแบ็กดอร์ Linux ขนาดเบาที่ติดตั้งผ่านสคริปต์ web shell เมื่อเริ่มทำงานจะเปิดพอร์ต TCP รอรับการเชื่อมต่อ และตรวจสอบสิทธิ์คำขอที่เข้ามาด้วยรหัสผ่านที่ฮาร์ดโค้ดไว้ รองรับการรันคำสั่ง shell, การเข้าถึงและแก้ไขไฟล์, การดึงข้อมูลระบบปฏิบัติการ และการรันโค้ดตามอำเภอใจโดยตรงในหน่วยความจำของเครื่อง การติดตั้ง DOGLEASH ใช้สคริปต์ที่ดาวน์โหลดตัวมัลแวร์ เพิ่มกฎ iptables ให้ยอมรับทราฟฟิก TCP บนพอร์ตที่กำหนด แล้วรัน DOGLEASH ให้ bind รอรับการเชื่อมต่อ ข้อมูล TCP ที่รับเข้ามาจะถูกถอดรหัสด้วยรหัสผ่านที่ฮาร์ดโค้ดไว้ แล้วทำงานตาม command code ที่ได้รับ ดังตารางด้านล่าง

Command codeการทำงาน
0x2268, 0x2267รันคำสั่งผ่าน /bin/sh -c
0x2266อ่านไฟล์
0x2271เปลี่ยนชื่อไฟล์เพื่อสร้าง backup
0x2273, 0x2274ปิด socket listener
0x3450ดึงข้อมูลระบบ (release, version, machine HW ID, ชื่อ node)
นอกเหนือจากนี้รันโค้ดในหน่วยความจำ

ส่วน JARLEASH เป็นเครื่องมือดูแลระบบที่เขียนด้วย Java (แพ็กเกจ JAR) ซึ่งติดตั้งทั้งบนโครงสร้างพื้นฐานของผู้โจมตีเองและบนระบบเหยื่อที่มี Java พร้อมสคริปต์เริ่มทำงานที่จะฆ่าอินสแตนซ์ JARLEASH เดิมก่อนแล้วจึงเปิดตัวใหม่ ให้บริการจัดการไฟล์ผ่านเว็บ พร้อมฟังก์ชันเซิร์ฟเวอร์ FTP, SFTP และ Netcat จุดสำคัญที่ช่วยยืนยันสัญชาติผู้โจมตีคือไฟล์ตั้งค่าของ JARLEASH มีคอมเมนต์เป็นภาษาจีนตัวย่อ บ่งชี้ว่าผู้ปฏิบัติการเป็นคนที่พูดภาษาจีน สุดท้าย LEASHTEST (ชื่อภายใน “iot-test”) เป็นไบนารี ELF ที่ตัวมันเองไม่ใช่มัลแวร์ แต่การพบบนอุปกรณ์บ่งชี้ถึงการถูกเจาะ ใช้ทดสอบความสามารถพื้นฐานบนอุปกรณ์ IoT สถาปัตยกรรม MIPS เช่น การสร้าง thread, การ bind พอร์ต TCP, การสร้าง process ลูก, การตั้ง async timer และการทดสอบการจัดการ exception สะท้อนว่าแม้จะพัฒนา LONGLEASH เป็นเฟรมเวิร์กเต็มรูปแบบแล้ว UAT-7810 ก็ยังทดสอบการทำงานบนแพลตฟอร์ม MIPS อยู่ และอาจยังไม่มั่นใจพฤติกรรมบนอุปกรณ์เหล่านั้นเต็มที่

ด้านโครงสร้างพื้นฐาน Talos พบเซิร์ฟเวอร์ใหม่ 4 เครื่องที่ UAT-7810 ใช้โฮสต์ payload สำหรับหลายแพลตฟอร์มทั้ง MIPS, ARM และ x64 โดยส่วนใหญ่เป็น DOGLEASH ในจำนวนนี้มีไอพี VPS สามเครื่อง (194.233.92[.]26, 217.15.160[.]247, 217.15.164[.]147) และไอพีอีกเครื่องในฮ่องกง (95.182.100[.]231) ที่พบจากการวิเคราะห์ forensic ของอุปกรณ์ที่ถูกเจาะ ทั้งนี้ไอพี 217.15.164[.]147 ยังถูกใช้โจมตีเราเตอร์ ASUS AiCloud ผ่าน CVE-2025-2492 ในช่วงต้นปี 2569 บ่งชี้ความพยายามขยายเครือข่าย ORB ไปยังอุปกรณ์ AiCloud ขณะที่ไอพี 194.233.92[.]26 และ 217.15.164[.]147 เปิดเซิร์ฟเวอร์ TLS บนพอร์ต 99 ด้วยใบรับรองที่มี subject ผิดปกติเป็นคำว่า “exploit” ในทุกฟิลด์

ผลกระทบต่อไทย

ประเด็นที่ไทยต้องจับตาคือรูปแบบเครือข่าย ORB อาศัยเราเตอร์และอุปกรณ์เครือข่ายที่ไม่ได้แพตช์ในภูมิภาคเอเชียเป็นจุดรีเลย์ ซึ่งอุปกรณ์ Ruckus และ ASUS ที่เป็นเป้าหมายมีการใช้งานแพร่หลายในไทยทั้งในองค์กร โรงแรม และตามบ้าน เราเตอร์ในไทยที่เปิดพอร์ตบริหารจัดการออกอินเทอร์เน็ตและไม่ได้อัปเดตเฟิร์มแวร์ จึงเสี่ยงถูกยึดไปเป็นส่วนหนึ่งของเครือข่ายพร็อกซีโดยที่เจ้าของไม่รู้ตัว ผลคือทราฟฟิกโจมตีของกลุ่ม APT จีนอาจถูกส่งผ่านไอพีของไทย ทำให้องค์กรไทยตกเป็นทั้งเหยื่อและ “ทางผ่าน” ของการโจมตีในเวลาเดียวกัน อีกทั้งช่องโหว่ที่ใช้ล้วนเป็น n-day ที่มีแพตช์แล้ว สะท้อนปัญหาการละเลยการอัปเดตอุปกรณ์เครือข่ายที่พบได้ทั่วไปในไทย

คำแนะนำ

ผู้ดูแลระบบควรตรวจสอบและอัปเดตเฟิร์มแวร์ของเราเตอร์ Ruckus และ ASUS AiCloud ให้เป็นเวอร์ชันล่าสุดทันที เพื่อปิดช่องโหว่ CVE-2020-22653, CVE-2020-22658, CVE-2023-25717 และ CVE-2025-2492 ที่กลุ่มนี้ใช้เจาะ ควรปิดการเข้าถึงหน้าบริหารจัดการอุปกรณ์จากอินเทอร์เน็ตหากไม่จำเป็น และจำกัดการเข้าถึงด้วย VPN หรือ IP allowlist นอกจากนี้ควรเฝ้าระวังทราฟฟิกขาออกที่ผิดปกติจากอุปกรณ์เครือข่าย โดยเฉพาะการทำ tunnel หรือ proxy ผ่านโปรโตคอลหลากหลายที่อธิบายไม่ได้ ตรวจหา web shell บนอุปกรณ์ Linux และพอร์ต TCP ที่เปิดรอรับการเชื่อมต่อผิดปกติ ทั้งนี้รายการ IoC ครบถ้วนที่เชื่อมโยงกับกิจกรรมของ UAT-7810 และชุดเครื่องมือล่าสุด มีให้ดูที่ท้ายรายงานของ Cisco Talos

Indicators of Compromise (IoCs)

หมายเหตุ: ไอพีและ URL ถูก defang ด้วย [.] และ [:] โดยเจตนาเพื่อป้องกันการเชื่อมต่อโดยไม่ตั้งใจ ให้ re-fang เฉพาะในระบบข่าวกรองภัยคุกคามที่ควบคุมได้ (เช่น MISP, VirusTotal หรือ SIEM) เท่านั้น

ตัวบ่งชี้เครือข่าย (Network)

Indicatorรายละเอียด
194.233.92[.]26เซิร์ฟเวอร์ VPS โฮสต์ payload + TLS พอร์ต 99
217.15.160[.]247เซิร์ฟเวอร์ VPS โฮสต์ payload
217.15.164[.]147เซิร์ฟเวอร์ VPS + ใช้โจมตี ASUS AiCloud (CVE-2025-2492) + TLS พอร์ต 99
95.182.100[.]231เซิร์ฟเวอร์ในฮ่องกง โฮสต์ payload
http[:]//217.15.160[.]247:8088/, :2222/, :99/URL ดาวน์โหลด payload
http[:]//194.233.92[.]26:8088/, :2222/URL ดาวน์โหลด payload
http[:]//217.15.164[.]147:99/, :8088/, :2222/URL ดาวน์โหลด payload
http[:]//95.182.100[.]231:2222/URL ดาวน์โหลด payload

TLS certificate fingerprint (พอร์ต 99): c2ab9adaba93ff094b8f3fc37d906014d870582039d276b7bd03e6fd583d8a15 subject_dn: C=exploit, ST=exploit, L=exploit, O=exploit, OU=exploit, CN=exploit

ตัวบ่งชี้มัลแวร์ (SHA-256)

ไฟล์Hash
LEASHTEST1b5649b479fd625de5c8120873644b5eb669cc89cd504582c18e0ae350fd8823
LONGLEASH755fcee1337a252203002ecfdf673a08cfadeda8d738bef2d518a08e0626aa4f
JARLEASH startup scripte799d72929d7ccc7f6b6109742b8cc482838303207efc989543b6e1ca6d16e9c
JARLEASH config file3b89d183eb014e29d9d0d4e45fc2b784a7fcfcf31dd48fd3bde30f8d956383d1
JARLEASH324d95024fc8da5c92b5a1f4825aed5a2a91c9ca8fb6aa52abb332a4c9cf4257
JARLEASHbafba443170e54ef7fd431ce7f1b5e202719f3fd022e4ef70788904f574d2cdf

DOGLEASH (หลายสายพันธุ์):
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การตรวจจับ (Coverage)

Snort SIDs: 66433, 66432, 66430, 66431, 301493 · ClamAV: Unix.Backdoor.Agent-*, Java.Backdoor.Agent-* และสายพันธุ์ตามสถาปัตยกรรม (mips32/mips32r2/armv7/mips1)

แหล่งอ้างอิง