Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Botnet de PolarEdge

Botnet de PolarEdge

El Mezo el Botnets
Traduir a:

Investigadors de seguretat han desxifrat recentment la mecànica d'una família de botnets centrada en encaminadors anomenada PolarEdge. La seva combinació de comunicació basada en TLS, trucs de configuració integrats i mesures antianàlisi deliberades la converteixen en una amenaça notable per als aparells de xarxa domèstics i de les PIME.

Cronologia i descobriment

Els investigadors van documentar PolarEdge per primera vegada el febrer del 2025, vinculant-lo a campanyes dirigides a encaminadors i dispositius NAS de diversos proveïdors. A l'agost del 2025, els analistes havien cartografiat gran part de la infraestructura de la xarxa de bots i observat trets consistents amb una xarxa d'estil Operational Relay Box (ORB). La telemetria retrospectiva suggereix que alguna activitat de PolarEdge pot remuntar-se al juny del 2023.

Objectius i accés inicial

Els dispositius dels principals proveïdors, com ara Cisco, ASUS, QNAP i Synology, s'han identificat com a objectius, cosa que destaca que tant els encaminadors com els sistemes NAS de nivell empresarial i de consum corren el risc d'explotació.

A les cadenes d'atacs del febrer de 2025, els actors d'amenaces van explotar una vulnerabilitat coneguda de Cisco (CVE-2023-20118) per obtenir un petit script de shell lliurat per FTP anomenat "q". La funció d'aquest script era recuperar i iniciar la porta del darrere PolarEdge ELF a l'amfitrió compromès.

Disseny d’implant central

PolarEdge és un implant ELF compatible amb TLS que principalment:

  • Envia una empremta digital de l'amfitrió a un servidor de comandament i control (C2) i, a continuació,
  • Espera ordres a través d'un servidor TLS integrat implementat amb mbedTLS v2.8.0.

El comportament per defecte de l'implant és actuar com a servidor TLS mitjançant un protocol binari personalitzat. Un camp clau del protocol és HasCommand: quan aquest camp és igual al caràcter ASCII 1, l'implant llegeix el camp Command, executa l'ordre especificat localment i retorna la sortida de l'ordre en brut al C2.

Modes de funcionament

PolarEdge admet dos modes addicionals:

Mode de connexió inversa : l'implant es comporta com un client TLS per extreure fitxers de servidors remots.

Mode de depuració : un mode interactiu que permet als operadors modificar els paràmetres de configuració (per exemple, les adreces del servidor) sobre la marxa.

Configuració i ofuscació integrades

La botnet emmagatzema la seva configuració d'execució dins dels darrers 512 bytes de la imatge ELF. Aquest bloc està ofuscat amb un XOR d'un sol byte; els investigadors informen que la clau XOR és 0x11, que s'ha d'aplicar per recuperar la configuració.

Operacions amb fitxers

Després de l'execució, l'implant realitza moviments i eliminacions del sistema de fitxers (exemples com ara moure binaris com ara /usr/bin/wget i /sbin/curl, i suprimir fitxers com ara /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). La intenció operativa precisa que hi ha darrere d'aquestes accions no s'entén completament a partir de les dades disponibles.

Tècniques d’evasió i antianàlisi

PolarEdge incorpora una gamma de mecanismes defensius sofisticats dissenyats per evadir la detecció i impedir l'anàlisi, cosa que dificulta que els investigadors de seguretat i les eines automatitzades identifiquin el seu comportament i disseccionin el seu funcionament intern.

Amaga detalls de la inicialització del servidor TLS i les rutines d'empremtes digitals mitjançant ofuscació.

Durant l'inici, realitza un emmascarament de processos, triant aleatòriament un nom de procés d'una llista integrada per barrejar-lo amb els serveis legítims del sistema.

Alguns dels possibles noms inclouen:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • aplicació informàtica

Resiliència sense la persistència clàssica

PolarEdge no sembla instal·lar un mecanisme de persistència tradicional que sobrevisqui als reinicis. En canvi, realitza un truc en temps d'execució: crea una bifurcació i el procés fill fa una enquesta cada 30 segons per comprovar si el directori /proc/ del pare encara existeix. Si aquest directori desapareix (indicant que el procés pare ha desaparegut), el fill executa una ordre de shell per rellançar la porta del darrere, proporcionant efectivament una recuperació oportunista en temps d'execució en lloc d'una persistència permanent en temps d'arrencada.

Conclusions defensives

Les organitzacions que gestionen encaminadors i dispositius NAS han d'assegurar-se que apliquen actualitzacions i mitigacions del proveïdor per a la CVE-2023-20118 i vulnerabilitats similars d'execució remota. Han de supervisar activament l'activitat TLS inusual dels dispositius de xarxa i les connexions de sortida a hosts inesperats. És igualment fonamental vigilar els signes d'emmascarament de processos i qualsevol canvi o eliminació no autoritzada de binaris de xarxa i scripts orientats a la web.

 

Tendència

American Express - Estafa: intent d'inici de sessió...

Phishing, Correu brossa
Els ciberdelinqüents sovint exploten la familiaritat de les marques de confiança per atraure usuaris desprevinguts perquè revelin informació confidencial. L'estafa "American Express - Intent d'inici de sessió bloquejat" és un bon exemple d'aquesta tàctica. Aquests correus electrònics suplanten alertes de seguretat d'American Express, afirmant que s'ha bloquejat un intent d'inici de sessió...

Més vist

Carregant...