LONGLEASH-Malware: Chinesische Hacker bauen Proxy-Netzwerk aus
Veröffentlicht: 08.07.2026 um 01:25 Uhr, Redaktion boerse-global.de
Sicherheitsforscher haben eine neue Malware-Familie entdeckt, die von einem chinesischen Bedrohungsakteur genutzt wird, um sein globales Netzwerk an Proxy-Servern massiv zu erweitern.
Die als UAT-7810 bekannte Gruppe setzt laut einem Bericht von Cisco Talos vom Juli 2026 die neu entwickelte Schadsoftware LONGLEASH ein. Das Programm ist der Nachfolger des bisherigen Backdoors SHORTLEASH und dient dem Ausbau der sogenannten Operational Relay Box (ORB)-Infrastruktur. Diese fungiert als hochentwickeltes Proxy-Netzwerk, das staatlich gesteuerten Hackern ermöglicht, ihre wahren Ursprungsadressen bei Cyberangriffen zu verschleiern.
So funktioniert LONGLEASH
Die Malware verwandelt kompromittierte GerĂ€te in Knotenpunkte des ORB-Netzwerks. LONGLEASH besteht aus einem Kernmodul und einem Executor. Zu ihren FĂ€higkeiten gehören eine Reverse-Shell, diverse Proxy-Protokolle wie HTTP, DNS, SOCKS, TCP, ICMP und UDP sowie UnterstĂŒtzung fĂŒr SMTP und TLS/PKI. Besonders raffiniert: Die Software kann sich selbst entfernen und fungiert zudem als Steuerungsrelay (Command-and-Control).
Mit der neuen Infrastruktur wurden mehrere Server-IP-Adressen in Verbindung gebracht, darunter 194.233.92.26, 217.15.160.247, 217.15.164.147 und 95.182.100.231.
Spezialwerkzeuge fĂŒr jeden Zweck
Neben LONGLEASH hat die Gruppe eine ganze Reihe spezialisierter Tools entwickelt:
Die LONGLEASH-Malware verwandelt kompromittierte GerĂ€te in Knotenpunkte eines globalen Proxy-Netzwerks â oft unbemerkt. Unser Report zeigt, wie Sie ORB-Infrastruktur erkennen und Ihre NetzwerkgerĂ€te gezielt hĂ€rten. Jetzt kostenlosen Sicherheits-Check anfordern
- DOGLEASH: Ein Linux-Backdoor zur AusfĂŒhrung von Shellcode
- JARLEASH: Ein Java-basiertes Verwaltungstool
- LEASHTEST: Ein Testwerkzeug speziell fĂŒr MIPS-basierte Architekturen
Den ersten Zugriff verschaffen sich die Angreifer durch die Ausnutzung von SicherheitslĂŒcken in Netzwerkhardware und Cloud-Diensten. Betroffen sind unter anderem GerĂ€te von Ruckus (CVE-2020-22653, CVE-2020-22658, CVE-2023-25717) sowie ASUS AiCloud (CVE-2025-2492).
Parallelkampagne gegen UniversitÀten
In einer separaten, ebenfalls Anfang Juli 2026 gemeldeten Aktion hat eine weitere mutmaĂlich chinesische Gruppe namens UNK_MassTraction UniversitĂ€ten in den USA und Kanada ins Visier genommen. Die von Proofpoint beobachtete Kampagne begann im Mai 2026 und konzentriert sich auf Physik- und IngenieurfakultĂ€ten.
Hacker nutzen LONGLEASH, um ĂŒber kompromittierte Router und Cloud-Dienste in Ihr Netzwerk einzudringen. Erfahren Sie in unserem Leitfaden, welche Indikatoren auf eine Infektion hindeuten und wie Sie Ihre Systeme schĂŒtzen. Sicherheits-Leitfaden jetzt sichern
Die Angreifer nutzen SicherheitslĂŒcken in Roundcube-Webmail-Servern (CVE-2024-42009 und CVE-2025-49113), um eine JavaScript-basierte Schadsoftware namens IceCube zu installieren. Dieses Tool stiehlt Anmeldedaten, Session-Cookies und Zwei-Faktor-Authentifizierungstoken. Zur dauerhaften PrĂ€senz in den Netzwerken der Opfer setzt die Gruppe den SNOWLIGHT-Loader ein, der entweder die SquareShell-Webshell oder das Go-basierte Backdoor VShell nachlĂ€dt.
Obwohl bisher weniger als zehn Opfer in der UniversitÀtskampagne bestÀtigt wurden, zeigt die AktivitÀt das anhaltende Interesse an akademischer Forschung und geistigem Eigentum. Die kombinierten Berichte deuten auf eine koordinierte Strategie chinesischer Akteure hin: Sie verfeinern einerseits ihre Verschleierungsinfrastruktur und gehen gleichzeitig aggressiv gegen Ziele im Bildungs- und Verteidigungssektor vor.
