Китайські хакери створили глобальну мережу шпигунських маршрутизаторів, перетворивши понад 1000 пристроїв SOHO на інструменти кібершпигунства в рамках кампанії LapDogs. 
Про це пише
securityaffairs.
Як повідомили експерти компанії SecurityScorecard, ця прихована мережа під назвою Operational Relay Box (ORB) використовується для проведення довгострокових операцій, пов'язаних з китайськими групами APT, зокрема з групою UAT-5918. Цілями кампанії стали США і країни Південно-Східної Азії, включаючи Японію, Південну Корею, Гонконг і Тайвань.
Дослідники виявили шкідливе ПЗ ShortLeash на базі Linux, яке автоматично встановлюється на зламаних пристроях з правами адміністратора, змінює системні служби для маскування і зберігає присутність після перезавантаження. Після встановлення воно створює зашифрований канал зв'язку з керуючим сервером, імітуючи відповіді Nginx і змінюючи параметри запитів для приховування активності. Шкідливе ПЗ сумісне з різними системами і може заразити маршрутизатори та пристрої від ASUS, D-Link, Microsoft, Panasonic, Synology та інших виробників.
В ході аналізу фахівці з'ясували, що багато зламаних пристроїв працюють на вразливих версіях ПЗ, таких як mini_httpd, GoAhead і DropBearSSH, які містять відомі дірки безпеки CVE-2015-1548 і CVE-2017-17663. За допомогою аналізу часу генерації сертифікатів і номерів портів дослідники виділили 162 групи заражених пристроїв, кожна з яких показувала організовану і цілеспрямовану поведінку. Більше 95% пристроїв в ряді груп були підключені через одного інтернет-провайдера або знаходилися в одному місті, що вказує на стратегічний підхід хакерів.
Згідно зі звітом, LapDogs не є випадковою кампанією: вона ведеться щонайменше з вересня 2023 року, при цьому більшість груп невеликі, до 60 пристроїв кожна. Хакери явно зосереджуються на США та Південно-Східній Азії, вибираючи жертв у певних регіонах і ретельно плануючи атаки. Шкідливе ПЗ ShortLeash також зафіксовано на віртуальних серверах і машинах з Windows, включаючи навіть застарілі версії Windows XP, що демонструє гнучкість і широке охоплення кампанії.
Хоча мережа ORB нагадує іншу китайську кампанію PolarEdge, LapDogs відрізняється способом зараження, підтримкою стійкості і більш широкою інфраструктурою, яка охоплює не тільки маршрутизатори, але і VPS і системи Windows. Експерти вважають, що мережа ORB використовується відразу декількома групами, але найбільші докази вказують на китайську UAT-5918, особливо через наявність китайських фраз в коді і цілеспрямованих атак на Тайвань.
Фахівці SecurityScorecard попереджають, що LapDogs демонструє зростаючий інтерес китайських хакерів до використання мереж ORB для проведення прихованих операцій по всьому світу. Вони закликали служби кібербезпеки бути особливо пильними, оскільки подібні кампанії ускладнюють традиційні методи виявлення загроз і усунення наслідків атак.
