Пов’язане з Китаєм угруповання створює мережу ретрансляторів, що вже налічує понад 1000 заражених пристроїв. Таким чином зловмисники маскують свою інфраструктуру, призначену для шпигунства, повідомляє SecurityScorecard.

Атакуючі заражають маршрутизатори кастомним бекдором ShortLeash, який забезпечує їм прихований і довгостроковий доступ до скомпрометованих пристроїв.

Дослідники зазначають, що під час встановлення бекдор може генерувати самопідписані сертифікати TLS, видаючи себе за «LAPD», тобто департамент поліції Лос-Анджелеса.

Більшість заражених пристроїв – це точки доступу Ruckus Wireless, а також бездротові маршрутизатори Buffalo Technology AirStation. На цих пристроях працюють старі служби SSH, які вразливі до проблем CVE-2015-1548 і CVE-2017-17663.

На думку експертів, LapDogs пов’язана з PolarEdge, ORB-мережею (Operational Relay Box), що складається з понад 2000 заражених маршрутизаторів та інших IoT-пристроїв і діє щонайменше з 2023 року. Однак, незважаючи на всі збіги, мабуть, це різні хакерські операції.

“Зламані пристрої використовуються для підтримання прихованої та надійної інфраструктури, а не для проведення гучних і руйнівних атак. Вони функціонують як гнучка інфраструктура і можуть забезпечувати оперативне прикриття для шкідливої активності. Скомпрометовані пристрої продовжують функціонувати як зазвичай під час кампаній, що може ускладнювати атрибуцію і виявлення”, – пишуть фахівці.

Передбачається, що ця кампанія може мати відношення до активності китайського APT-угруповання UAT-5918, яке фахівці Cisco Talos раніше пов’язували з атаками Volt Typhoon, Flax Typhoon, Earth Estries і Dalbit.