Китайская хакерская группа LapDogs развернула глобальную шпионскую кампанию через сеть зараженных устройств

Сеть LapDogs включает более 1000 зараженных устройств, преимущественно расположенных в США и странах Юго-Восточной Азии, включая Японию, Южную Корею, Гонконг и Тайвань. Жертвами становятся компании из различных секторов: недвижимость, информационные технологии, сетевые сервисы, медиа и другие. Основной мишенью хакеров являются устройства сегмента SOHO (Small Office/Home Office), которые часто остаются без должного внимания со стороны служб безопасности.

Ключевым инструментом в арсенале LapDogs является уникальный бэкдор ShortLeash, который обеспечивает злоумышленникам скрытый доступ к зараженным устройствам. Для маскировки своей деятельности хакеры используют самоподписанные TLS-сертификаты с подписью «LAPD», что может быть попыткой имитировать легитимный трафик, связанный с полицией Лос-Анджелеса.

Аналитики SecurityScorecard отмечают, что активность LapDogs развивается волнообразно, с четкой географической привязкой. Например, наблюдались всплески атак, направленных на Японию и Тайвань в определенные периоды времени, что указывает на методичный подход к выбору целей. Такая тактика позволяет предположить, что за кампанией стоит не случайная группа злоумышленников, а хорошо организованная структура с конкретными задачами.

ORB-сети, подобные LapDogs, представляют собой серьезную угрозу, поскольку они позволяют злоумышленникам действовать скрытно, избегая обнаружения. В отличие от традиционных ботнетов, которые используются для массовых атак, ORB-инфраструктура предназначена для долгосрочного шпионажа, оставаясь незаметной для большинства систем защиты. Зараженные устройства продолжают функционировать в обычном режиме, что затрудняет их выявление.

Эксперты связывают LapDogs с китайской хакерской группировкой UAT-5918, что подтверждается анализом кода и другими цифровыми следами. Использование ORB-сетей киберпреступниками, связанными с Китаем, становится все более распространенной тактикой, что усложняет традиционные методы обнаружения и противодействия.

Кампания LapDogs демонстрирует растущий интерес китайских хакеров к технологиям скрытого наблюдения и долгосрочного внедрения в целевые сети. Это требует от компаний повышенного внимания к защите периферийных устройств, регулярного аудита сетевой активности и внедрения современных систем мониторинга угроз.

SecurityScorecard призывает организации, особенно работающие в чувствительных отраслях, проверить свои системы на возможное заражение и принять меры для предотвращения подобных атак. Полный отчет с деталями исследования доступен по ссылке в оригинальном сообщении.

IPv4

• 103.117.100.117
• 103.117.100.77
• 103.117.100.79
• 103.131.189.2
• 103.131.189.36
• 103.135.248.52
• 119.31.186.253
• 141.164.44.183
• 141.164.50.206
• 141.164.51.99
• 141.164.63.253
• 158.247.201.36
• 158.247.208.113
• 158.247.216.244
• 158.247.244.8
• 158.247.250.190
• 180.210.220.148
• 64.176.228.227

Domains

• northumbra.com
• ns.northumbra.com
• study.northumbra.com
• www.northumbra.com

SHA256

• 02ab315e4e3cf71c1632c91d4914c21b9f6e0b9aa0263f2400d6381aab759a61
• 073133298e5cca0833354be754f5d14358c0dbc24ba5f70e5b5eceec1d6726e6
• 1a180186e6fbaf6fa88f934965290235e8418976d6f3546dbf100217d1752db4
• 33ff77940436498a50bbb05391324964063cd3c93f2e66b07d1cb31442bb1513
• 75618401b64046d970df49fcfdfcc36174b0aae27ac4e1c178dc75219992080a
• 9b954bfc2949d07eb41446225592eaa65ed3954cd2b93a13c574bb89147a4465

• LapDogs-STRIKE-Report-June-2025.pdf