LONGLEASH-Malware, Chinesische

LONGLEASH-Malware: Chinesische Hacker bauen Proxy-Netzwerk aus

Veröffentlicht: 08.07.2026 um 01:25 Uhr, Redaktion boerse-global.de

Neue Schadsoftware LONGLEASH baut globales Proxy-Netzwerk für chinesische Hacker aus. Parallel greift eine Gruppe Universitäten an.

Chinesische Hacker nutzen LONGLEASH-Malware für Proxy-Netzwerk
LONGLEASH-Malware - Schattenfigur tippt auf Laptop, Codezeilen und China-Karte im Hintergrund, symbolisiert Cyberbedrohungen. 08.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher haben eine neue Malware-Familie entdeckt, die von einem chinesischen Bedrohungsakteur genutzt wird, um sein globales Netzwerk an Proxy-Servern massiv zu erweitern.

Die als UAT-7810 bekannte Gruppe setzt laut einem Bericht von Cisco Talos vom Juli 2026 die neu entwickelte Schadsoftware LONGLEASH ein. Das Programm ist der Nachfolger des bisherigen Backdoors SHORTLEASH und dient dem Ausbau der sogenannten Operational Relay Box (ORB)-Infrastruktur. Diese fungiert als hochentwickeltes Proxy-Netzwerk, das staatlich gesteuerten Hackern ermöglicht, ihre wahren Ursprungsadressen bei Cyberangriffen zu verschleiern.

So funktioniert LONGLEASH

Die Malware verwandelt kompromittierte Geräte in Knotenpunkte des ORB-Netzwerks. LONGLEASH besteht aus einem Kernmodul und einem Executor. Zu ihren Fähigkeiten gehören eine Reverse-Shell, diverse Proxy-Protokolle wie HTTP, DNS, SOCKS, TCP, ICMP und UDP sowie Unterstützung für SMTP und TLS/PKI. Besonders raffiniert: Die Software kann sich selbst entfernen und fungiert zudem als Steuerungsrelay (Command-and-Control).

Mit der neuen Infrastruktur wurden mehrere Server-IP-Adressen in Verbindung gebracht, darunter 194.233.92.26, 217.15.160.247, 217.15.164.147 und 95.182.100.231.

Spezialwerkzeuge für jeden Zweck

Neben LONGLEASH hat die Gruppe eine ganze Reihe spezialisierter Tools entwickelt:

Anzeige

Die LONGLEASH-Malware verwandelt kompromittierte Geräte in Knotenpunkte eines globalen Proxy-Netzwerks – oft unbemerkt. Unser Report zeigt, wie Sie ORB-Infrastruktur erkennen und Ihre Netzwerkgeräte gezielt härten. Jetzt kostenlosen Sicherheits-Check anfordern

  • DOGLEASH: Ein Linux-Backdoor zur Ausführung von Shellcode
  • JARLEASH: Ein Java-basiertes Verwaltungstool
  • LEASHTEST: Ein Testwerkzeug speziell für MIPS-basierte Architekturen

Den ersten Zugriff verschaffen sich die Angreifer durch die Ausnutzung von Sicherheitslücken in Netzwerkhardware und Cloud-Diensten. Betroffen sind unter anderem Geräte von Ruckus (CVE-2020-22653, CVE-2020-22658, CVE-2023-25717) sowie ASUS AiCloud (CVE-2025-2492).

Parallelkampagne gegen Universitäten

In einer separaten, ebenfalls Anfang Juli 2026 gemeldeten Aktion hat eine weitere mutmaßlich chinesische Gruppe namens UNK_MassTraction Universitäten in den USA und Kanada ins Visier genommen. Die von Proofpoint beobachtete Kampagne begann im Mai 2026 und konzentriert sich auf Physik- und Ingenieurfakultäten.

Anzeige

Hacker nutzen LONGLEASH, um über kompromittierte Router und Cloud-Dienste in Ihr Netzwerk einzudringen. Erfahren Sie in unserem Leitfaden, welche Indikatoren auf eine Infektion hindeuten und wie Sie Ihre Systeme schützen. Sicherheits-Leitfaden jetzt sichern

Die Angreifer nutzen Sicherheitslücken in Roundcube-Webmail-Servern (CVE-2024-42009 und CVE-2025-49113), um eine JavaScript-basierte Schadsoftware namens IceCube zu installieren. Dieses Tool stiehlt Anmeldedaten, Session-Cookies und Zwei-Faktor-Authentifizierungstoken. Zur dauerhaften Präsenz in den Netzwerken der Opfer setzt die Gruppe den SNOWLIGHT-Loader ein, der entweder die SquareShell-Webshell oder das Go-basierte Backdoor VShell nachlädt.

Obwohl bisher weniger als zehn Opfer in der Universitätskampagne bestätigt wurden, zeigt die Aktivität das anhaltende Interesse an akademischer Forschung und geistigem Eigentum. Die kombinierten Berichte deuten auf eine koordinierte Strategie chinesischer Akteure hin: Sie verfeinern einerseits ihre Verschleierungsinfrastruktur und gehen gleichzeitig aggressiv gegen Ziele im Bildungs- und Verteidigungssektor vor.

de | wissenschaft | 69718190 |