Negli ultimi tempi è stata scoperta una rete composta da oltre 1000 dispositivi SOHO compromessi, utilizzata come infrastruttura per una campagna di cyber spionaggio collegata a gruppi hacker cinesi. Questa rete, soprannominata LapDogs, è stata individuata dal team STRIKE di SecurityScorecard e coinvolge principalmente vittime negli Stati Uniti e nel Sud-Est Asiatico, ma sono stati registrati casi anche in Giappone, Corea del Sud, Hong Kong e Taiwan. Le vittime appartengono a settori come IT, networking, immobiliare e media, e i dispositivi coinvolti comprendono marchi noti come Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic e Synology.

Il backdoor ShortLeash e le tecniche di infezione

Il fulcro della rete LapDogs è un backdoor personalizzato chiamato ShortLeash. Questo malware trasforma i dispositivi infetti in nodi della rete malevola. Una volta installato, ShortLeash configura un falso server Nginx e genera un certificato TLS autofirmato con il nome “LAPD” come issuer, probabilmente per simulare il Dipartimento di Polizia di Los Angeles. L’infezione avviene principalmente tramite uno script shell che prende di mira dispositivi Linux, ma sono stati riscontrati indizi anche di una versione per Windows. Gli attacchi sfruttano vulnerabilità di sicurezza N-day, come CVE-2015-1548 e CVE-2017-17663, per ottenere l’accesso iniziale ai dispositivi.

Attività e diffusione della rete LapDogs

Le prime attività riconducibili a LapDogs risalgono al 6 settembre 2023 a Taiwan, seguite da un secondo attacco a gennaio 2024. Le campagne sembrano essere organizzate a ondate, ciascuna delle quali infetta non più di 60 dispositivi, e finora sono stati identificati 162 set di intrusioni distinti. LapDogs condivide alcune somiglianze con la botnet PolarEdge, che sfrutta vulnerabilità di sicurezza note in router e dispositivi IoT, ma si differenzia per le tecniche di infezione e la capacità di colpire anche VPS e sistemi Windows.

Gruppi coinvolti e strategie di offuscamento

I ricercatori ritengono che anche il gruppo UAT-5918 abbia utilizzato LapDogs almeno in una delle sue operazioni contro Taiwan, benché non sia chiaro se sia direttamente responsabile della rete o ne sia solo un cliente. L’utilizzo di reti ORB come questa da parte di attori legati alla Cina rappresenta una strategia di offuscamento sempre più adottata, in quanto queste infrastrutture possono essere impiegate in ogni fase di un attacco: dal reconnaissance all’esfiltrazione dei dati, passando per scansioni di vulnerabilità e l’anonimizzazione delle attività malevole.