PolarEdge: análisis técnico del backdoor TLS que convierte routers en una botnet

Investigadores de ciberseguridad han desentrañado las capacidades internas del malware PolarEdge, un backdoor tipo ELF basado en TLS que ha sido observado comprometiendo routers y dispositivos NAS de fabricantes como Cisco, ASUS, QNAP y Synology. El análisis técnico revela un implante sofisticado que escucha conexiones entrantes, ejecuta comandos remotos y se comunica con un servidor de comando y control (C2) mediante un servidor TLS implementado con mbedTLS, lo que complica su detección y análisis.

Origen, alcance y objetivos observados

PolarEdge fue documentado por primera vez por Sekoia a principios de 2025, y desde entonces su infraestructura ha sido mapeada por compañías como Censys, que describieron la red troncal y la arquitectura adyacente como consistente con una Operational Relay Box (ORB) —es decir, una red de retransmisión diseñada para anonimizar, proxificar o monetizar el tráfico de dispositivos comprometidos—. Hay indicios de actividad ligada a esta familia desde mediados de 2023 y un crecimiento sostenido en 2024–2025.

Vector de infección y cadena de ataque

En las campañas registradas en febrero de 2025, los operadores explotaron una vulnerabilidad conocida en ciertos routers Cisco (CVE-2023-20118) para descargar un script de instalación (denominado "q") por FTP que, a su vez, descarga y ejecuta la puerta trasera PolarEdge en el objetivo. Una vez desplegado, el implante envía una huella digital del host al servidor C2 y abre un servidor TLS que espera comandos en un protocolo binario propietario.

Diseño técnico y capacidades del backdoor

• Implante ELF con TLS incorporado: PolarEdge implementa un servidor TLS con mbedTLS v2.8.0, aceptando conexiones entrantes y procesando solicitudes en un protocolo binario que incluye un campo HasCommand. Si HasCommand == 0x01, la puerta trasera extrae y ejecuta el comando contenido en Command y retransmite la salida.
• Modos de operación: soporta un modo de conexión (cliente TLS para descargar archivos remotos) y un modo de depuración (interactivo para cambiar parámetros en caliente).
• Configuración incrustada y ofuscada: la configuración está ubicada en los últimos 512 bytes del binario ELF y está ofuscada con un XOR de un solo byte (clave 0x11), lo que dificulta su extracción rápida.
• Técnicas anti-análisis y enmascaramiento: durante la inicialización el proceso se renombra aleatoriamente con nombres legítimos (por ejemplo, igmpproxy, httpd, upnpd, /sbin/dhcpd) para evadir detección basada en procesos; además crea un proceso hijo que vigila la existencia del proceso padre y lo reinicia si desaparece, ofreciendo una forma rudimentaria de resiliencia post-fallo.

Comportamiento post-infección y posibles objetivos

Tras la ejecución, PolarEdge puede invocar utilidades del sistema (/usr/bin/wget, /sbin/curl) y eliminar archivos específicos en dispositivos infectados —acciones cuyo propósito operativo no siempre es evidente—. La evidencia recogida por Censys y otros sugiere que la botnet está orientada a construir una red de proxies residenciales o relays (un ORB) que pueden usarse para fraude, evasión geográfica o como parte de cadenas de monetización criminales.

Relación con GhostSocks y la monetización del acceso

El descubrimiento de PolarEdge coincide con informes sobre GhostSocks, un servicio/MaaS que convierte endpoints comprometidos en proxies SOCKS5 residenciales, y que se ha integrado en familias de malware como Lumma Stealer para monetizar accesos. GhostSocks facilita que un cliente de malware aprovisione proxies a partir de dispositivos comprometidos y mantenga persistencia de acceso para fraude y abuso online. Estas sinergias resaltan la cadena completa: explotación → implantación (por ejemplo PolarEdge) → aprovisionamiento del proxy (GhostSocks) → monetización.

Indicadores de compromiso (IOCs) y mitigación inmediata

Los informes técnicos de Sekoia incluyen IOCs, encabezados HTTP observados, hashes de archivos y patrones de red que los equipos de seguridad deben integrar en reglas IDS/IPS, YARA y listas de bloqueo. Como medidas prácticas inmediatas se recomiendan:

• Aplicar parches y remediar CVE-2023-20118 en equipos Cisco afectados (o aislarlos si el parche no está disponible).
• Escanear la red en busca de procesos y archivos con las firmas públicas de PolarEdge.
• Bloquear y monitorear conexiones TLS sospechosas a servidores C2 identificados y patrones de comportamiento binario.
• Segmentar y restringir acceso de dispositivos edge/NAS a la red interna y limitar el uso de FTP/servicios expuestos.
• Correlacionar telemetría con IOCs de Sekoia y Censys e implementar reglas de detección en SIEM y appliances de red.

En fin...

PolarEdge representa una evolución en amenazas contra dispositivos de borde: un backdoor TLS con capacidades de comando remoto, ofuscación y un diseño coherente con infraestructuras ORB, integrado en un ecosistema criminal que monetiza el acceso mediante proxies residenciales como GhostSocks. La combinación de explotación de vulnerabilidades conocidas, técnicas anti-análisis y la infraestructura de retransmisión subraya la necesidad de una defensa en profundidad: parcheo oportuno, segmentación de redes, monitoreo continuo y respuesta coordinada. Integrar los IOCs publicados por Sekoia y Censys en las defensas es hoy una prioridad para minimizar el impacto de esta botnet en entornos empresariales y domésticos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login