
UAT-7810 借路由器同 NAS 砌 ORB:屋企 Wi-Fi 點樣變攻擊跳板
Cisco Talos 指向 Ruckus 同 ASUS AiCloud,太耐冇更新嘅設備最麻煩
件事唔應該當普通 botnet 睇
iThome 報道 Cisco Talos 追蹤到 UAT-7810 繼續為 LapDogs ORB 網絡開發惡意軟件,今次見到 LONGLEASH、DOGLEASH、JARLEASH 三套名字。同一般會出嚟掃街、挖礦、打 DDoS 嘅 botnet 唔同,ORB 重點係借正常設備幫攻擊流量轉彎,令真正來源難追。你平時可能只當 router 係上網盒仔,但佢一旦開住管理介面、firmware 又多年冇郁,就好適合俾人當跳板。

圖片:Cisco Talos
Talos 點樣睇 UAT-7810
Talos 評估 UAT-7810 同中國背景活動有關,亦話 UAT-5918 同 UAT-7810 暫時要分開睇:前者用過 LapDogs 去打高價值目標,後者似係負責維持同擴張嗰張 ORB 基建。呢個分別好重要,因為見到某粒 IP 或一部 router 出現喺攻擊路徑,唔代表就可以直接話邊個 APT 落手;ORB 最煩係中間有好多層,買返、租返、入侵返嚟嘅節點會混埋一齊。

圖片:Google Cloud / Mandiant
Ruckus 同 ASUS AiCloud 係重點入口
Talos 見到 UAT-7810 主要針對冇更新嘅 Ruckus 無線 router/AP,涉及 CVE-2020-22653、CVE-2020-22658 同 CVE-2023-25717;NVD 對 CVE-2023-25717 嘅描述係未登入 HTTP GET 可遠端執行指令。Talos 又話其中一粒基建 IP 曾經用嚟打 ASUS AiCloud 嘅 CVE-2025-2492;NICTER 2026 年 1 月分析過,AiCloud 2.0.0.39 或之前版本有認證繞過,已見到實際攻擊同 bot 感染。

圖片:NICTER Blog
家用同小公司點解會中
SecurityScorecard 2025 年 LapDogs 報告追到逾 1,000 個活躍感染節點,入面近 55% 似係 Ruckus Wireless AP;呢個數唔當做即時全網普查,但已經講得好白:攻擊者鍾意長開、可遠端管理、又冇人定期維護嘅 SOHO 設備。router、NAS、IP camera、smart 門鐘、舊 AP,全部都有相同問題:買返嚟嗰日設定完就放埋角落,日常上網冇壞就唔會再登入後台。
點收窄風險
實際處理唔使一開波就驚到換晒設備。先入 router/AP 後台睇 firmware 版本,同廠方支援頁最新版本對一次;ASUS 用開 AiCloud、USB 分享、遠端管理嗰啲,唔用就關,舊機冇新 firmware 就唔好再開俾 internet 入。Ruckus、UniFi、MikroTik、Synology 呢類長開設備,最好放入固定盤點:型號、firmware、管理入口有冇暴露 WAN、上次更新日期,四樣寫低已經幫到好多。
見到怪嘢點處理
如果設備突然多咗陌生 admin 帳號、port forwarding、DMZ、VPN 設定,或者外連 IP 同 DNS 查詢變得好怪,唔好淨係改密碼就算。穩陣做法係先斷開 internet,備份必要設定截圖,升 firmware;懷疑已入侵就 factory reset,再改管理密碼、Wi-Fi 密碼、VPN key,同檢查同一網段入面有冇其他 NAS 或 server 出現異常登入。呢步麻煩,但 router 做咗跳板之後,問題好多時唔止停喺 router。
下一步睇邊類人
今次最值得記住嘅重點係:ORB 好多時唔係靠罕見 0-day,反而靠大家以為冇乜價值嘅邊緣設備。Talos 呢份報告只提到一粒 payload server IP 喺香港,冇公開點名本地公司或住戶;SecurityScorecard 2025 年曾話香港都係 LapDogs 節點較集中地區,但同樣唔係本地受害名單。實際做起嚟,小店、studio、共享 office 同有 NAS 嘅屋企,應該當邊緣設備係 server 咁管,firmware 同遠端入口唔好再靠記憶。
參考來源
- iThome — 駭客團體UAT-7810打造新的惡意軟體架設ORB網路 — original report
- Cisco Talos: UAT-7810 continues building ORB networks using new malware — Talos primary report,核對 UAT-7810、LONGLEASH、DOGLEASH、JARLEASH、Ruckus CVE 同香港 IP 脈絡。
- SecurityScorecard: LapDogs, The New ORB in Town — 2025 年 LapDogs 背景報告,用嚟理解 ORB、SHORTLEASH、SOHO 節點同 Ruckus 集中情況。
- Google Cloud / Mandiant: China-Nexus Cyber Espionage Actors Use ORB Networks — Google/Mandiant 背景文,用嚟解釋 ORB 點借 router、IoT、VPS 混合轉流量。
- NVD: CVE-2023-25717 — 核對 Ruckus 未登入 HTTP GET 可遠端執行指令同 CVSS 9.8。
- NVD: CVE-2025-2492 — 核對 ASUS AiCloud 認證控制漏洞描述。
- NICTER Blog: ASUS AiCloud vulnerability — 日本 NICTER 分析 ASUS AiCloud 實際攻擊、版本修補同建議處理方法。
- Ruckus Networks: CVE-2023-25717 Bulletin — Ruckus 原廠 bulletin,核對 CVE-2023-25717 同 AP 受影響範圍。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







