LapDogs: Red ORB encubierta vinculada a China compromete más de 1,000 dispositivos

Diego Cortes R. viernes, junio 27, 2025Compartir:
imagen - The Hacker News


Investigadores de SecurityScorecard han revelado una campaña de ciberespionaje de largo alcance denominada LapDogs, operada por actores vinculados a China. Esta operación utiliza una red de Operational Relay Boxes (ORB) para comprometer más de 1,000 dispositivos SOHO (Small Office/Home Office) en Estados Unidos y Asia.

Características técnicas de la campaña

  • Backdoor personalizado: ShortLeash, diseñado para mantener persistencia y generar certificados TLS falsificados con metadatos del LAPD (Departamento de Policía de Los Ángeles).
  • Dispositivos comprometidos: routers Ruckus Wireless (55%), Buffalo AirStation, y otros dispositivos IoT con firmware obsoleto.
  • Sistemas operativos afectados: principalmente Linux, aunque también se han detectado variantes para Windows.
  • Persistencia: uso de scripts .service en /etc/systemd/system/ y /lib/systemd/system/ para ejecución con privilegios root.
  • Vulnerabilidades explotadas: CVE-2015-1548 y CVE-2017-17663, entre otras.

Objetivos y atribución

Los atacantes han dirigido sus esfuerzos a sectores como TI, redes, medios y bienes raíces. El análisis forense reveló notas en mandarín en los scripts de inicio y patrones de emisión de certificados que apuntan a una planificación geográfica deliberada. Se ha vinculado al grupo APT UAT-5918 con al menos una operación dentro de esta campaña.

Implicaciones de seguridad

LapDogs representa una evolución en el uso de redes ORB, que a diferencia de los botnets tradicionales, permiten operaciones encubiertas y persistentes. Estas redes pueden actuar como nodos de C2, proxies, recolectores de tráfico y vectores de intrusión, todo mientras mantienen el funcionamiento normal del dispositivo comprometido.

“LapDogs refleja un cambio estratégico en cómo los actores de amenazas están aprovechando dispositivos distribuidos y de baja visibilidad para obtener acceso persistente.” — SecurityScorecard

Recomendaciones

  • Actualizar firmware de dispositivos SOHO y deshabilitar servicios innecesarios.
  • Monitorear certificados TLS inusuales, especialmente aquellos con metadatos falsificados.
  • Implementar segmentación de red y detección de tráfico anómalo desde dispositivos residenciales.
  • Revisar logs de conexiones entrantes desde IPs residenciales o puertos no estándar.

Para más detalles técnicos, consulta el informe completo de SecurityScorecard.

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!