(https://i.imgur.com/HDKXUux.jpeg)
Investigadores de ciberseguridad han desentrañado las capacidades internas del malware PolarEdge, un backdoor tipo ELF basado en TLS que ha sido observado comprometiendo routers y dispositivos NAS de fabricantes como Cisco, ASUS, QNAP y Synology. El análisis técnico revela un implante sofisticado que escucha conexiones entrantes, ejecuta comandos remotos y se comunica con un servidor de comando y control (C2) mediante un servidor TLS implementado con mbedTLS, lo que complica su detección y análisis.
Origen, alcance y objetivos observadosPolarEdge fue documentado por primera vez por Sekoia a principios de 2025, y desde entonces su infraestructura ha sido mapeada por compañías como Censys, que describieron la red troncal y la arquitectura adyacente como consistente con una Operational Relay Box (ORB) —es decir, una red de retransmisión diseñada para anonimizar, proxificar o monetizar el tráfico de dispositivos comprometidos—. Hay indicios de actividad ligada a esta familia desde mediados de 2023 y un crecimiento sostenido en 2024–2025.
Vector de infección y cadena de ataqueEn las campañas registradas en febrero de 2025, los operadores explotaron una vulnerabilidad conocida en ciertos routers Cisco (CVE-2023-20118) para descargar un script de instalación (denominado "q") por FTP que, a su vez, descarga y ejecuta la puerta trasera PolarEdge en el objetivo. Una vez desplegado, el implante envía una huella digital del host al servidor C2 y abre un servidor TLS que espera comandos en un protocolo binario propietario.
Diseño técnico y capacidades del backdoor- Implante ELF con TLS incorporado: PolarEdge implementa un servidor TLS con mbedTLS v2.8.0, aceptando conexiones entrantes y procesando solicitudes en un protocolo binario que incluye un campo HasCommand. Si HasCommand == 0x01, la puerta trasera extrae y ejecuta el comando contenido en Command y retransmite la salida.
- Modos de operación: soporta un modo de conexión (cliente TLS para descargar archivos remotos) y un modo de depuración (interactivo para cambiar parámetros en caliente).
- Configuración incrustada y ofuscada: la configuración está ubicada en los últimos 512 bytes del binario ELF y está ofuscada con un XOR de un solo byte (clave 0x11), lo que dificulta su extracción rápida.
- Técnicas anti-análisis y enmascaramiento: durante la inicialización el proceso se renombra aleatoriamente con nombres legítimos (por ejemplo, igmpproxy, httpd, upnpd, /sbin/dhcpd) para evadir detección basada en procesos; además crea un proceso hijo que vigila la existencia del proceso padre y lo reinicia si desaparece, ofreciendo una forma rudimentaria de resiliencia post-fallo.
Comportamiento post-infección y posibles objetivosTras la ejecución, PolarEdge puede invocar utilidades del sistema (/usr/bin/wget, /sbin/curl) y eliminar archivos específicos en dispositivos infectados —acciones cuyo propósito operativo no siempre es evidente—. La evidencia recogida por Censys y otros sugiere que la botnet está orientada a construir una red de proxies residenciales o relays (un ORB) que pueden usarse para fraude, evasión geográfica o como parte de cadenas de monetización criminales.
Relación con GhostSocks y la monetización del accesoEl descubrimiento de PolarEdge coincide con informes sobre GhostSocks, un servicio/MaaS que convierte endpoints comprometidos en proxies SOCKS5 residenciales, y que se ha integrado en familias de malware como Lumma Stealer para monetizar accesos. GhostSocks facilita que un cliente de malware aprovisione proxies a partir de dispositivos comprometidos y mantenga persistencia de acceso para fraude y abuso online. Estas sinergias resaltan la cadena completa: explotación → implantación (por ejemplo PolarEdge) → aprovisionamiento del proxy (GhostSocks) → monetización.
Indicadores de compromiso (IOCs) y mitigación inmediataLos informes técnicos de Sekoia incluyen IOCs, encabezados HTTP observados, hashes de archivos y patrones de red que los equipos de seguridad deben integrar en reglas IDS/IPS, YARA y listas de bloqueo. Como medidas prácticas inmediatas se recomiendan:
- Aplicar parches y remediar CVE-2023-20118 en equipos Cisco afectados (o aislarlos si el parche no está disponible).
- Escanear la red en busca de procesos y archivos con las firmas públicas de PolarEdge.
- Bloquear y monitorear conexiones TLS sospechosas a servidores C2 identificados y patrones de comportamiento binario.
- Segmentar y restringir acceso de dispositivos edge/NAS a la red interna y limitar el uso de FTP/servicios expuestos.
- Correlacionar telemetría con IOCs de Sekoia y Censys e implementar reglas de detección en SIEM y appliances de red.
En fin...PolarEdge representa una evolución en amenazas contra dispositivos de borde: un backdoor TLS con capacidades de comando remoto, ofuscación y un diseño coherente con infraestructuras ORB, integrado en un ecosistema criminal que monetiza el acceso mediante proxies residenciales como GhostSocks. La combinación de explotación de vulnerabilidades conocidas, técnicas anti-análisis y la infraestructura de retransmisión subraya la necesidad de una defensa en profundidad: parcheo oportuno, segmentación de redes, monitoreo continuo y respuesta coordinada. Integrar los IOCs publicados por Sekoia y Censys en las defensas es hoy una prioridad para minimizar el impacto de esta botnet en entornos empresariales y domésticos.
Fuente: https://thehackernews.com/