中国関連のUAT-7810が新たなLONGLEASHマルウェアでORBネットワークを拡大
中国の脅威アクターUAT-7810が、インターネットに接続されたネットワーク機器への侵入を通じて、独自のマルウェアを洗練させ、Operational Relay Box(ORB)ネットワークを拡大しています。Cisco Talosの調査によると、UAT-7810は高度な持続的脅威(APT)アクターであり、2025年6月に初めて明らかになったLapDogsというORBネットワークの維持と拡大を担当しています。新たに開発されたLONGLEASHマルウェアは、従来のShortLeashの機能を強化し、複数の新しいツールも使用されています。これにより、UAT-7810は高価値ターゲットに対する攻撃を行うためのインフラを構築しています。
メトリクス
このニュースのスケール度合い
インパクト
予想外またはユニーク度
脅威に備える準備が必要な期間が時間的にどれだけ近いか
このニュースで行動が起きる/起こすべき度合い
主なポイント
- ✓ UAT-7810は、インターネットに接続されたネットワーク機器を狙い、独自のマルウェアを用いてORBネットワークを拡大しています。
- ✓ 新たに開発されたLONGLEASHマルウェアは、従来のShortLeashの機能を強化し、複数の新しいツールを使用しています。
社会的影響
- ! このような攻撃は、重要インフラに対する脅威を高め、社会全体の安全性に影響を与える可能性があります。
- ! 特に、台湾などの地域では、これらの攻撃が国家の安全保障に直結するため、深刻な懸念が生じています。
編集長の意見
解説
UAT-7810がLONGLEASHでORB中継網を拡張——「見えない」ネットワーク機器を宿主にする作戦が次の段階に入りました
今日の深掘りポイント
- エッジ/ネットワーク機器を踏み台にする「Operational Relay Box(ORB)」の拡張で、EDRの視界外から多段プロキシ(Multi-hop)を確立しやすくなっています。可視性の断絶こそが攻撃側の最大の利点です。
- ShortLeashからLONGLEASHへ進化した独自マルウェア群は、持続性・運用性を強化し、LapDogsと呼ばれる既存のORB網を厚みのある中継レイヤーへと引き上げています。
- 「少なくとも4台の新サーバでDOGLEASHの変種を展開」という報は、単なるC2の入れ替えではなく、冗長化・冗長経路の設計思想が前面化しているサインです。
- 新規性は中程度でも、即応の必要性と再現性の高さが際立つ案件です。防御側は「機器の在庫化・パッチ・外向き通信制御・管理プレーン分離」の地味だが効く四点セットを、順序立てて即時運用に落とし込むべきです。
- 通信・学内/キャンパス・拠点網でのRuckusなどネットワーク機器の露出は、日本の企業環境でも一般的です。可用性を名目にした“後回し”が最大のリスク増幅装置になっています。
はじめに
Cisco Talosが指摘する中国関連のUAT-7810は、インターネット接続型のネットワーク機器を足場に、ORB(Operational Relay Box)と呼ばれる中継インフラを拡大しているとされます。2025年6月に初めて名指しされたLapDogsというORB網の維持・拡張を担い、ShortLeashを発展させたLONGLEASHを含む独自マルウェア群を用いて、高価値ターゲットを狙うための踏み台密度を高めている構図です。端的にいえば、攻撃作戦の“土木工事”が粛々と進み、上物(侵入・窃取)をより安全に運ぶための物流路が太くなっている、ということです。
本稿では事実関係とその意味合いを分けて整理し、MITRE ATT&CKに沿った想定シナリオ、そして日本のCISO/SOCが今日から実装できる実務手順にブリッジします。
深掘り詳細
事実関係(公表情報で読み取れること)
- UAT-7810は、インターネットに接続されたネットワーク機器への侵入を通じて、ORBネットワークを拡大していると報じられています。基盤拡張には独自マルウェアのShortLeash系統を発展させたLONGLEASHが用いられ、複数の新ツールが観測されています。これらは高価値ターゲットへの攻撃に用いる中継網の整備という位置づけです。The Hacker Newsの報道に基づく要約です。
- UAT-7810は2025年6月にLapDogsと呼ばれるORBネットワークの維持・拡張担当として明らかになり、今回、新たに少なくとも4台のサーバでDOGLEASHの派生を展開しているとの観測が示されています。これにより中継網の広がりと冗長化が進んでいると見られます。同報道を根拠とする事実関係です。
- 背景として、Ruckusの無線/ネットワーク機器における未修正脆弱性の悪用にも言及がありますが、個別CVEや侵害規模の定量情報は当該記事には明示されていないため、本稿では特定の脆弱性番号の断定は避けます。同様に、LONGLEASHやDOGLEASHの詳細な機能差分も限定的にしか公開されていません。
出典はいずれも前掲の報道記事の要約に基づいています。一次報告(Cisco Talosの詳細ブログやIOCリスト)が公開されていれば、そちらの検証を推奨します。
編集部のインサイト(なぜ今これが効くのか)
- ネットワーク機器は“EDRの死角”です。企業の可視化・検知はエンドポイントとサーバに厚く、ルータ/AP/CPE/SD-WANエッジはパッチもロギングも相対的に薄いまま放置されがちです。攻撃側はここを中継点にし、運用上の安全域(attribution低下・ブロック困難・持続性確保)を確保します。
- LONGLEASHへの世代交代は「運用成熟」の裏返しです。モジュール化・耐障害性・オペレータの負担軽減(たとえば自動ピボット、柔軟なプロトコル選択、フォールバックC2)など、平時の準備が戦時の成功確率を押し上げます。少なくとも4台の新サーバというスケール増は、運用KPI(可用性・スループット・冗長性)を管理している可能性を示します。
- 新規性は限定的でも、即応性と再現性は高い案件です。すでに確立された戦法(公開機器の脆弱性悪用→バックドア設置→多段プロキシ化)の“量”と“質”が上がる局面で、防御側は構造的弱点に手を入れない限り、検知ルールの微修正では追いつきません。
- 日本の現場での要点は「管理プレーンの分離」と「外向き通信の最小化」です。ネットワーク機器が“外へ話す必要のある宛先”を明文化し、そこへの許可だけを積み上げるアプローチに切り替えることが、最短で効果の出る打ち手です。
脅威シナリオと影響
以下は公表情報と一般的な国家系オペレーションの手口に基づく仮説です。個別インシデントの確定的TTPではありません。
-
企業エッジ機器の踏み台化からの多段プロキシ運用
- 想定フロー(MITRE ATT&CK準拠・仮説)です。
- 偵察: インターネット露出機器のスキャンやバナー識別(T1595 系)を行います。
- 初期侵入: 公開管理UI/サービスの脆弱性悪用(T1190)を行います。
- 権限昇格/永続化: 既知の脆弱性連鎖による特権化(T1068)、起動スクリプトやジョブ設定の改変(T1053)、場合によりファーム/イメージ改変(T1601)を行います。
- 防御回避: ログの抑止・ローテーション改変や監視無効化(T1562)を行います。
- C2/中継: 多段プロキシ化(T1090.003)、アプリ層プロトコルのC2利用(T1071)、ツール搬入(T1105)を行います。
- 横展開: 管理セグメントや隣接拠点へSSH/Telnet/管理APIで横展開(T1021)を行います。
- 発見/偵察深化: サービス・ネットワーク探索(T1046)を行います。
- 目的達成: 侵入先へのアクセス隠ぺい、中継経由での標的活動、データのC2経由持ち出し(T1041)を行います。
- 影響です。
- SOCの可視性低下と、遮断時の巻き添えリスク(機器停止=業務断)が意思決定を鈍らせます。
- プロキシ鎖の外側で観測されたIOCだけが残り、初動で「自組織が中継点だった」事実を見落とし、以降の標的侵入の調査が困難になります。
- 想定フロー(MITRE ATT&CK準拠・仮説)です。
-
通信事業者/大規模キャンパス環境での波及
- 多数のCPE/AP/スイッチが管理プレーン共有・同一監視網にぶら下がる環境では、中継候補が桁違いに増えます。
- 国境・法域をまたいだ多段経路は、帰属判断と共同対処(ISP間連携)を遅らせます。標的側に届く前の段階で防ぎにくくなります。
-
重要インフラ接続点での“温存”型プレポジショニング
- 中継網の厚みは「待ち」の作戦と相性が良く、平時に仕込んで有事に使うパターンの成立性を高めます。日本の重要インフラ網と企業網の接点(保守用回線、リモートメンテナンス、拠点VPN)は、設計上の例外が残りやすく、温存に向いた地形です。
参考: 手口のラベル付けに用いたATT&CKの各技術は、以下の公式ドキュメントを参照してください(一般的記述です)。
- Exploit Public-Facing Application(T1190)です。
- Proxy: Multi-hop Proxy(T1090.003)です。
- Ingress Tool Transfer(T1105)です。
- Network Service Discovery(T1046)です。
- Remote Services(T1021)です。
- Scheduled Task/Job: Cron(T1053.003)です。
- Impair Defenses(T1562)です。
- Exploitation for Privilege Escalation(T1068)です。
- Exfiltration Over C2 Channel(T1041)です。
- Application Layer Protocol(T1071)です。
セキュリティ担当者のアクション
“やるべきこと”はシンプルですが、順序とスコープが肝心です。以下は現場で回しやすい優先度順の提案です。
-
48〜72時間以内(初動の土台固め)です。
- 露出機器の最新一覧を作り、管理者UI/SSH/Telnetの外部露出を棚卸しします。公開が不要なものは閉じるか、管理VPN/跳び箱越しに限定します。
- ベンダが提供する最新ファーム/パッチの適用計画を起こします。特にRuckusやSOHO/拠点ルータ、SD-WANエッジなど「いつかやる」状態の機器を最優先にします。
- ネットワーク機器からの外向きトラフィックを点検し、既知のアップデート/ライセンス/監視先のFQDNとポートのみ許可する「許可リスト」化を開始します。機器がインターネット全域に対して発信できる状況は直ちに是正します。
- NetFlow/sFlow/Zeekなどのフロー/メタデータ収集を境界で有効化し、機器アドレスからの長寿命セッション、未知AS宛の高ポート、DNS頻発などの“中継らしい”振る舞いを可視化します。
-
1〜2週間(被害最小化と検知の具体化)です。
- 構成の二重化と改ざん検知を入れます。設定アーカイブ、コンフィグ差分監視、起動構成のハッシュ検証、ファームウェアの整合性チェックを定例化します。
- 管理プレーンの分離を徹底します。OOB管理、専用VLAN/VRF、ACLでの管理端末限定、TACACS+/RADIUSによりアカウント統制と認証強化を実施します。
- ハンティングの着眼点をルール化します。
- 機器からの意図しないTLSハンドシェイクや未知SNI/DoH/公開クラウド宛の持続的な外向き通信の検出です。
- ルータ/APのユーザーエージェントや独特なDNS名パターンの逸脱検知です。
- 機器から社内横展開方向へのSSH/Telnet/WinRMなどの管理ポート通信の新規出現の検出です。
- インシデント対応ランブックを更新します。ネットワーク機器が“中継として悪用”された前提で、停止時の業務影響・代替経路・段階的遮断(ポリシーベース)を含む判断手順を明文化します。
-
30〜90日(構造的な是正)です。
- サプライヤ/運用委託先とのSLAに「ファーム適用の期限・証跡」「外向き宛先の明示」「構成改ざん監視」「インシデント時のコールダウン手順」を組み込みます。
- 重要拠点は機器のリモート管理を完全にOOB化し、業務系ネットワークから論理的にも物理的にも切り離します。
- Egress制御を“管理セグメント→インターネット”でも適用します。ネットワーク機器・監視サーバなど「管理の中核」から外部への通信は、ゼロトラストの原則で最小化します。
-
コミュニケーションと継続運用です。
- 経営層への説明は「検知が難しい領域に投資を移す」話として、被害確率×影響度ではなく“組織の盲点”というリスク語彙で合意形成します。
- 複数拠点/多数機器の運用では、インベントリ自動化(CMDB連携)、設定標準化(テンプレート)、変更管理(GitOps的運用)を導入し、属人性を減らします。
最後に、このニュースの実務的含意は「今ある資産の静かな再設計」です。派手な新機能や検知ルールではなく、外向き最小化・管理分離・改ざん検知という、地に足の着いた三点を“やり切る”ことが、UAT-7810型の作戦に最も効きます。今日できるところから、順に積み上げていきたいです。
参考情報
- The Hacker News: China-Linked UAT-7810 Expands ORB Network with New LONGLEASH Malware(2026-07)です。https://thehackernews.com/2026/07/china-linked-uat-7810-expands-orb.html
- MITRE ATT&CK T1190 Exploit Public-Facing Application です。https://attack.mitre.org/techniques/T1190/
- MITRE ATT&CK T1090.003 Proxy: Multi-hop Proxy です。https://attack.mitre.org/techniques/T1090/003/
- MITRE ATT&CK T1105 Ingress Tool Transfer です。https://attack.mitre.org/techniques/T1105/
- MITRE ATT&CK T1046 Network Service Discovery です。https://attack.mitre.org/techniques/T1046/
- MITRE ATT&CK T1021 Remote Services です。https://attack.mitre.org/techniques/T1021/
- MITRE ATT&CK T1053.003 Scheduled Task/Job: Cron です。https://attack.mitre.org/techniques/T1053/003/
- MITRE ATT&CK T1562 Impair Defenses です。https://attack.mitre.org/techniques/T1562/
- MITRE ATT&CK T1068 Exploitation for Privilege Escalation です。https://attack.mitre.org/techniques/T1068/
- MITRE ATT&CK T1041 Exfiltration Over C2 Channel です。https://attack.mitre.org/techniques/T1041/
- MITRE ATT&CK T1071 Application Layer Protocol です。https://attack.mitre.org/techniques/T1071/
背景情報
- i UAT-7810は、特にRuckus無線ルーターの未修正の脆弱性を悪用して攻撃を行っています。これにより、攻撃者はターゲットのネットワークに侵入し、持続的なアクセスを確保することが可能になります。
- i LONGLEASHは、外部サーバーと連絡を取るバックドア機能を持ち、コマンド・アンド・コントロール(C2)サーバーとしても機能します。これにより、攻撃者はターゲットのネットワークを効果的に制御することができます。