Profissionais de cibersegurança identificaram uma rede composta por mais de mil dispositivos de pequeno porte, como roteadores de uso doméstico e corporativo, que foram comprometidos e integrados a uma operação de espionagem ligada à China. Essa rede, chamada LapDogs, está ativa principalmente nos Estados Unidos e no Sudeste Asiático, com casos também registrados no Japão, Coreia do Sul, Hong Kong e Taiwan. Os alvos estão nos setores de tecnologia, redes, mídia e mercado imobiliário.
No centro da LapDogs está um programa malicioso chamado ShortLeash. Ele transforma os dispositivos infectados em nós ativos da rede, cria um servidor falso e emite um certificado digital forjado com o nome LAPD, em uma tentativa de se passar por uma autoridade legítima. O nome da operação deriva dessa falsa identificação. O ShortLeash é enviado por meio de um script que visa principalmente dispositivos com sistemas baseados em Linux, embora também tenha sido encontrada uma versão para Windows. A infecção inicial ocorre com a exploração de falhas de segurança conhecidas e antigas. A primeira atividade da LapDogs foi observada em setembro de 2023, em Taiwan.
Os ataques ocorrem em fases controladas, com até 60 dispositivos atingidos por vez. Até agora, foram registrados 162 conjuntos distintos de invasão. Embora compartilhe algumas características com outra rede conhecida, chamada PolarEdge, a LapDogs se diferencia pelo modo como se instala, pelos tipos de dispositivos visados e por também atingir servidores virtuais. O ShortLeash se mantém ativo ao criar um serviço no sistema, garantindo que seja executado mesmo após reinicializações. Há indícios de que um grupo ligado à China utilizou essa rede em uma operação contra Taiwan. Especialistas acreditam que redes como a LapDogs serão cada vez mais usadas para manter ações discretas e contínuas, com foco em coleta de dados e comunicação anônima durante as invasões.
