Investigadores de ciberseguridad han descubierto el funcionamiento interno de una botnet maliciosa llamada PolarEdge.
Sekoia documentó por primera vez PolarEdge en febrero de 2025 como una campaña dirigida a los enrutadores Cisco, ASUS, QNAP y Synology con el objetivo aún no especificado de integrar estos enrutadores en sus redes.
En esencia, los implantes ELF basados en TLS están diseñados para monitorear las conexiones entrantes de los clientes y ejecutar comandos dentro de esas conexiones.
Luego, en agosto de 2025, la plataforma de gestión de superficies de ataque Censys detalló la infraestructura troncal que alimenta la botnet y señaló que PolarEdge exhibe características consistentes con una red de caja de retransmisión operativa (ORB). Hay evidencia que sugiere que la actividad relacionada con este malware pudo haber comenzado en junio de 2023.
En una cadena de ataques observada en febrero de 2025, se observó a un atacante explotando una falla de seguridad conocida (CVE-2023-20118) que afectaba a los enrutadores Cisco para descargar un script de shell llamado ‘q’ a través de FTP. Este script recupera y ejecuta la puerta trasera PolarEdge en el sistema comprometido.
«La función principal de la puerta trasera es enviar la huella digital del host a un servidor de comando y control y escuchar los comandos a través del servidor TLS integrado implementado con mbedTLS», dijo la firma francesa de ciberseguridad en los detalles técnicos del malware.
PolarEdge está diseñado para admitir dos modos de funcionamiento. Uno está en modo de conexión posterior, donde la puerta trasera actúa como un cliente TLS y descarga archivos desde un servidor remoto, y el otro está en modo de depuración, donde la puerta trasera ingresa al modo interactivo y cambia su configuración (es decir, información del servidor) sobre la marcha.
La configuración está incrustada en los últimos 512 bytes de la imagen ELF, ofuscada por un XOR de 1 byte y se puede descifrar con la clave de 1 byte 0x11.
Sin embargo, su modo predeterminado es actuar como un servidor TLS para enviar la huella digital del host a un servidor de comando y control (C2) y esperar a que se envíen los comandos. El servidor TLS se implementa con mbedTLS v2.8.0 y se basa en un protocolo binario personalizado para analizar las solicitudes entrantes que coinciden con ciertos criterios, incluido un parámetro denominado «HasCommand».
Si el parámetro «HasCommand» es igual al carácter ASCII 1, la puerta trasera comienza a extraer y ejecutar el comando especificado en el campo «Comando» y devuelve la salida sin formato del comando ejecutado.
Una vez iniciado, PolarEdge también elimina y elimina ciertos archivos en el dispositivo infectado (como /usr/bin/wget, /sbin/curl, etc.), pero se desconoce el propósito exacto detrás de este paso.
Además, la puerta trasera incorpora amplias técnicas antianálisis para ofuscar la información relacionada con la configuración del servidor TLS y la lógica de huellas digitales. Para evitar la detección, utilizamos el enmascaramiento de procesos, que selecciona aleatoriamente un nombre de una lista predefinida durante la fase de inicialización. Algunos nombres incluyen igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd e iapp.
«La puerta trasera no garantiza la persistencia entre reinicios, pero llama a fork para generar un proceso hijo y comprueba cada 30 segundos si /proc/ todavía existe», explicaron los investigadores de Sekoia. «Si el directorio desaparece, el niño ejecuta un comando de shell para reiniciar la puerta trasera».
La divulgación se produce cuando Synthient destaca la capacidad de GhostSocks para transformar dispositivos comprometidos en servidores proxy residenciales SOCKS5. Se dice que GhostSocks se promocionó por primera vez en el foro XSS en octubre de 2023 bajo un modelo de malware como servicio (MaaS).
Vale la pena señalar que a principios de 2024, este servicio se integró en Lumma Stealer, lo que permite a los clientes de malware ladrón monetizar los dispositivos comprometidos después de la infección.
«GhostSocks ofrece a los clientes la capacidad de crear archivos DLL o ejecutables de 32 bits», dijo Synthient en un análisis reciente. «GhostSocks intentará encontrar el archivo de configuración en %TEMP%. Si no se encuentra el archivo de configuración, recurrirá a la configuración codificada».
Esta configuración contiene detalles del servidor C2 al que se establecerá una conexión para proporcionar un proxy SOCKS5 y, en última instancia, generar conexiones utilizando las bibliotecas de código abierto go-socks5 y yamux.
Source link
