Новое вредоносное программное обеспечение под названием PolarEdge активно используется для создания ботнета из маршрутизаторов. Атакам подвергаются устройства от ведущих производителей, включая Cisco, ASUS, QNAP и Synology. Основная функция PolarEdge — это TLS-бэкдор, реализованный в виде ELF-импланта, который отслеживает входящие подключения на зараженном устройстве и выполняет команды, передаваемые операторами. Конечная цель создания этой сети скомпрометированных устройств остается неустановленной.
Активность PolarEdge, предположительно, началась в июне 2023 года. Впервые вредонос был задокументирован французской компанией по кибербезопасности Sekoia в феврале 2025 года. Спустя полгода, в августе 2025 года, инфраструктуру ботнета детально описала платформа по управлению поверхностью атаки Censys. Специалисты Censys отметили, что характеристики сети соответствуют так называемым Operational Relay Box (ORB) сетям, используемым для анонимизации и перенаправления трафика злоумышленников.
Заражение устройств происходит через эксплуатацию известной уязвимости CVE-2023-20118 в маршрутизаторах Cisco. В ходе атаки, зафиксированной в феврале 2025 года, злоумышленники сначала использовали уязвимость для загрузки на роутер shell-скрипта под названием "q" по протоколу FTP. Этот скрипт, в свою очередь, скачивал и запускал основной исполняемый файл бэкдора PolarEdge.
Для связи с командно-контрольным сервером (C2) PolarEdge использует собственный бинарный протокол поверх TLS. Встроенный TLS-сервер реализован с помощью библиотеки mbedTLS версии 2.8.0. При получении запроса вредонос проверяет наличие параметра "HasCommand". Если его значение равно ASCII-символу
PolarEdge применяет несколько техник для сокрытия своего присутствия в системе. Основной метод — маскировка процесса. При запуске вредонос случайным образом выбирает одно из легитимных имен процессов, таких как
Конфигурация вредоносного ПО хранится в последних 512 байтах его исполняемого ELF-файла. Эти данные зашифрованы с помощью однобайтового XOR-шифра с ключом
Механизм персистентности PolarEdge не обеспечивает его выживание после перезагрузки устройства. Вместо этого он использует команду
Программа может работать в трех режимах: стандартный режим TLS-сервера, режим обратного подключения (TLS-клиент) для загрузки файлов и отладочный режим, позволяющий операторам изменять конфигурацию в реальном времени. После заражения PolarEdge выполняет неясные действия: перемещает системные утилиты
Тенденция по компрометации устройств для создания прокси-сетей подтверждается появлением и других вредоносных сервисов. Одним из таких является GhostSocks, предлагаемый по модели «вредонос как услуга» (MaaS). Его функция заключается в превращении зараженных систем в резидентные SOCKS5-прокси.
Реклама GhostSocks впервые появилась на форуме XSS в октябре 2023 года. К началу 2024 года этот вредонос был интегрирован в популярный инфостилер Lumma Stealer. Это позволило клиентам Lumma Stealer монетизировать зараженные устройства, сдавая их в аренду в качестве прокси.
Технические детали GhostSocks были освещены фирмой Synthient. Клиенты сервиса могут скомпилировать 32-битный DLL-файл или исполняемый файл. При запуске вредонос ищет конфигурационный файл в директории
Изображение носит иллюстративный характер
Активность PolarEdge, предположительно, началась в июне 2023 года. Впервые вредонос был задокументирован французской компанией по кибербезопасности Sekoia в феврале 2025 года. Спустя полгода, в августе 2025 года, инфраструктуру ботнета детально описала платформа по управлению поверхностью атаки Censys. Специалисты Censys отметили, что характеристики сети соответствуют так называемым Operational Relay Box (ORB) сетям, используемым для анонимизации и перенаправления трафика злоумышленников.
Заражение устройств происходит через эксплуатацию известной уязвимости CVE-2023-20118 в маршрутизаторах Cisco. В ходе атаки, зафиксированной в феврале 2025 года, злоумышленники сначала использовали уязвимость для загрузки на роутер shell-скрипта под названием "q" по протоколу FTP. Этот скрипт, в свою очередь, скачивал и запускал основной исполняемый файл бэкдора PolarEdge.
Для связи с командно-контрольным сервером (C2) PolarEdge использует собственный бинарный протокол поверх TLS. Встроенный TLS-сервер реализован с помощью библиотеки mbedTLS версии 2.8.0. При получении запроса вредонос проверяет наличие параметра "HasCommand". Если его значение равно ASCII-символу
1, программа выполняет содержимое поля "Command" как shell-команду и отправляет необработанный результат обратно на C2-сервер. PolarEdge применяет несколько техник для сокрытия своего присутствия в системе. Основной метод — маскировка процесса. При запуске вредонос случайным образом выбирает одно из легитимных имен процессов, таких как
igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd или iapp. Дополнительные методы обфускации используются для сокрытия логики настройки TLS-сервера и сбора цифрового отпечатка системы. Конфигурация вредоносного ПО хранится в последних 512 байтах его исполняемого ELF-файла. Эти данные зашифрованы с помощью однобайтового XOR-шифра с ключом
0x11. Такой подход усложняет анализ и извлечение настроек, таких как адреса управляющих серверов. Механизм персистентности PolarEdge не обеспечивает его выживание после перезагрузки устройства. Вместо этого он использует команду
fork для создания дочернего процесса. Каждые 30 секунд дочерний процесс проверяет, активен ли родительский процесс, путем поиска его каталога в /proc/<parent-pid>. Если родительский процесс был завершен, дочерний немедленно выполняет команду для перезапуска бэкдора. Программа может работать в трех режимах: стандартный режим TLS-сервера, режим обратного подключения (TLS-клиент) для загрузки файлов и отладочный режим, позволяющий операторам изменять конфигурацию в реальном времени. После заражения PolarEdge выполняет неясные действия: перемещает системные утилиты
/usr/bin/wget и /sbin/curl и удаляет файл /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak. Цель этих манипуляций пока не определена. Тенденция по компрометации устройств для создания прокси-сетей подтверждается появлением и других вредоносных сервисов. Одним из таких является GhostSocks, предлагаемый по модели «вредонос как услуга» (MaaS). Его функция заключается в превращении зараженных систем в резидентные SOCKS5-прокси.
Реклама GhostSocks впервые появилась на форуме XSS в октябре 2023 года. К началу 2024 года этот вредонос был интегрирован в популярный инфостилер Lumma Stealer. Это позволило клиентам Lumma Stealer монетизировать зараженные устройства, сдавая их в аренду в качестве прокси.
Технические детали GhostSocks были освещены фирмой Synthient. Клиенты сервиса могут скомпилировать 32-битный DLL-файл или исполняемый файл. При запуске вредонос ищет конфигурационный файл в директории
%TEMP%, а в случае его отсутствия использует жестко закодированные настройки. Для установления прокси-соединения применяются библиотеки с открытым исходным кодом go-socks5 и yamux.
