ルーターを自律型C2中継器に変える新マルウェア「LONGLEASH」出現、中国系ハッカーの新たな手口

2026年7月9日 18:42

Cisco Talosの研究者は、中国に関連があるとみられるハッカー集団「UAT-7810」が、企業向けワイヤレスルーターを標的としたマルウェアツールキットを大幅にアップグレードしたと発表した。新たに展開されたインプラント「LONGLEASH」は、乗っ取ったルーターを自律的なコマンド&コントロール(C2)中継ノードに変える機能を備えている。RuckusやASUS製のネットワーク機器を運用している組織は、速やかにパッチを適用するなどの対応が必要である。

■UAT-7810の役割と脅威の背景

多くの中国系ハッカー集団がデータ窃盗を目的とするのに対し、UAT-7810は「他の中国系ハッカー集団が追跡を逃れながら攻撃を行うための中継インフラ(ORB:Operational Relay Box)を構築・維持する」という、運用上極めて重要な役割を担っている。

Cisco Talosは、UAT-7810が他の中国系持続的標的型(APT)攻撃グループに中継サービスを提供していることから、同グループを中国に関連する脅威アクターと高い確度で評価している。この中継ネットワークは、2025年にSecurityScorecardによって「LapDogs」という名称で初めて公開されたが、今回のTalosの報告により、そのネットワークを制御するマルウェアエンジンが大幅にアップグレードされた実態が明らかになった。

■従来のサイバー防御を無力化する「ORBネットワーク」

ORBネットワークがもたらす最大の脅威は、データの窃盗そのものではなく、「既知の悪意あるIPアドレスをブロックする」という企業における一般的な防御策を無力化することにある。UAT-7810が大学の乗っ取られたRuckus製アクセスポイント経由で攻撃トラフィックをルーティングした場合、標的側からは正規の学術機関からのアクセスに見えてしまう。このIPをブロックすることは大学との通信を遮断することを意味し、証拠として差し押さえても、判明するのは中継点(1ホップ分)だけであり、真の攻撃元インフラには到達できない。

新マルウェア「LONGLEASH」は、この問題をさらに深刻化させる。前世代のインプラントは乗っ取ったローカルデバイス上でのコマンド実行のみだったが、LONGLEASHはコマンドを下流の他の感染デバイスに中継する機能を備えている。これにより、1台のルーターがサブコマンドサーバーとして機能し、多段(マルチホップ)の中継チェーンを形成するため、追跡が極めて困難になる。

■リソース制限のあるルーターで動作する技術的工夫

Ruckusのワイヤレスアクセスポイントはサーバーではなく、一般的にMIPSアーキテクチャのプロセッサ上で動作する最小限のLinuxディストリビューションを採用している。これは低消費電力と高いスループット向けに設計されており、一般的なマルウェアが想定するような汎用計算処理には向いていない。

UAT-7810の開発者は、この制限された環境に適合するようにLONGLEASHを構築した。非同期I/Oライブラリ「Boost.Asio」を採用することで、プロセッサをブロックすることなく複数のネットワークタスク(プロキシトンネル、C2接続、TLSセッションなど)を効率的に処理できるようにしている。

さらに、Google Protocol Buffersの代わりにメモリ制限のある組み込みシステム向けの「Nanopb」を使用し、暗号化管理にはOpenSSLではなく軽量な「MbedTLS」を採用。標準のCライブラリの代わりには、フットプリントが非常に小さい「musl」を使用している。これらの選択により、マルチプロトコルのスパイツールキットをホストするよう設計されていない企業向けネットワーク機器上での持続的な実行を可能にしている。

■ツールキットに追加された3つの新ツール

Cisco Talosは、LONGLEASH以外にもUAT-7810のツールキットに追加された3つの新しいツールを特定した。

1つ目は「DOGLEASH」で、乗っ取ったLinuxネットワーク機器にスタートアップスクリプトを介して展開されるコンパクトなC言語製バックドアである。シェル実行、ファイル操作、任意のインメモリコード実行などのコマンドに対応している。

2つ目は「JARLEASH」で、Javaベースのバックドアである。Webベースのファイル管理やリモート管理機能を提供する。Talosは、JARLEASHの構成ファイル内に簡体字中国語で書かれたコメントを発見しており、オペレーターが中国語のネイティブスピーカーであることを直接的に示していると指摘している。

3つ目は「LEASHTEST」で、ターゲットとなるMIPS搭載IoTデバイスがスレッド作成やプロセス分岐などの機能を実行できるかをチェックする機能調査ツールである。Talosは、UAT-7810が様々なデバイスモデル上でLONGLEASHの挙動をテスト・微調整している段階であり、開発が現在も継続していることを示唆していると分析している。

■ゼロデイではなく「放置されたパッチ」が悪用される現実

UAT-7810のキャンペーンは、高度なゼロデイ脆弱性ではなく、すでにパッチが公開されているにもかかわらず組織が適用を怠っている既知の脆弱性を悪用している。Ruckus製機器に対しては、2020年の脆弱性(CVE-2020-22653、CVE-2020-22658)や、2023年に公開された「CVE-2023-25717」が武器化されている。特にCVE-2023-25717は、認証なしでリモートから任意のコードを実行できる重大な脆弱性(CVSSスコア 9.8)であり、米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)の「悪用が確認されている脆弱性(KEV)カタログ」にも登録されている。

また、UAT-7810は中国近隣のIP空間にあるC2サーバー(217.15.164[.]147)を介して、ASUS製AiCloudルーターの2026年の脆弱性(CVE-2025-2492)を悪用していることも確認された。これは、彼らがRuckus製品以外にもORBネットワークを拡大しようとしている兆候である。

■教育、医療、ホスピタリティ分野が狙われる理由と対策

Ruckusのワイヤレスアクセスポイントやコントローラーは、高等教育機関、ホテルなどのホスピタリティ業界、医療機関で広く採用されている。これらの分野は、IPアドレスの信頼性が高く、トラフィック量が多いため中継トラフィックが紛れ込みやすい。また、ITスタッフの不足などからファームウェアの更新が遅れがちであるため、攻撃者にとって格好の標的となる。

セキュリティチームが今すぐ実施すべき対策として、Cisco Talosは最新のファームウェアを例外なく即座に適用することを強く推奨している。また、インターネットに接続されたルーター上のiptablesルールを監査し、予期しないTCPリスナーのエントリがないか確認すること、ポート99での不審なTLSセッションを監視することを挙げている。LONGLEASHは組み込みLinuxデバイスからWindowsのChrome 122のユーザーエージェントを偽装するため、デバイスタイプとユーザーエージェントの不一致をログから検知することも有効である。

なお、LONGLEASHには不審な接続を検知すると自身を消去する「自己削除機能」が備わっているため、調査を行う際は、デバイスのクリーンアップや再起動を行う前に必ずフォレンジックイメージ(メモリやディスクの状態の複製)を採取する必要がある。

■注目ポイントQ&A

●ORBネットワークとは何ですか?なぜ対策が難しいのですか?

ORB(Operational Relay Box)ネットワークとは、乗っ取られた正規のデバイス(企業向けルーターやアクセスポイントなど)で構成される中継ネットワークです。攻撃トラフィックが信頼された組織のIPアドレスを経由して届くため、ファイアウォールなどの防御側からは正規の通信に見えてしまいます。既知の悪意あるIPアドレスをブロックするという従来の防御手法が通用しにくくなるため、対策が極めて困難です。

●自社のRuckus製品が脆弱かどうかを確認するにはどうすればよいですか?

Ruckus Wireless Adminのバージョン10.4以前を使用しており、2023年2月にリリースされた「CVE-2023-25717」のパッチを適用していない場合、脆弱な状態にあります。この脆弱性は認証不要でリモートからコードを実行される危険性があり、実際に悪用が確認されています。速やかに最新のファームウェアにアップデートしてください。

●ルーターがすでにORBネットワークに取り込まれているか確認する方法はありますか?

いくつかの兆候があります。管理者による設定変更がないにもかかわらずiptablesに不審なTCPリスナーが追加されている場合、ポート99で「exploit」という文字列を含む証明書を使用したTLSセッションが存在する場合、組み込みLinuxデバイスであるにもかかわらずWindowsのChrome 122のユーザーエージェントを送信している場合、あるいは不審なプロキシトンネル接続(SOCKS、DNS-over-TCP、ICMPなど)が発生している場合は、侵害されている可能性があります。

元記事: China-Linked Hackers Add Intermediate C2 Relay to Router Implant, Talos Warns

関連記事

最新記事