Cyber Security UP

PolarEdge: Nuova Botnet Infetta i Router Domestici – Rischio Massimo per Cisco, ASUS, QNAP e Synology

La botnet PolarEdge rappresenta una delle minacce emergenti più sofisticate nel panorama della sicurezza informatica, prendendo di mira router di marchi diffusi come Cisco, ASUS, QNAP e Synology. Questo malware, identificato per la prima volta nel febbraio 2025, sfrutta vulnerabilità note nei dispositivi di rete per inserirsi nei sistemi e trasformarli in parte di una rete malevola, la cui finalità è ancora in fase di analisi.

Il nucleo tecnico di PolarEdge

Il nucleo di PolarEdge è un impianto ELF basato su TLS, progettato per monitorare le connessioni in ingresso e per eseguire comandi su richiesta dell’attaccante. In particolare, l’attacco sfrutta una vulnerabilità specifica nei router Cisco (CVE-2023-20118), tramite la quale viene scaricato uno script che, a sua volta, installa il backdoor PolarEdge. Una volta attivo, questo backdoor invia un’impronta della macchina al server di comando e controllo (C2) e resta in ascolto di ulteriori istruzioni attraverso un server TLS integrato, sfruttando la libreria mbedTLS.

Funzionalità e tecniche di evasione

PolarEdge è dotato di due modalità operative: la “connect-back”, che consente di scaricare file aggiuntivi da server remoti, e la modalità debug, utile per modificare la configurazione del malware in tempo reale. La configurazione stessa risiede negli ultimi 512 byte dell’immagine ELF, offuscata tramite un algoritmo XOR a singolo byte e decifrabile con la chiave 0x11, rendendo più complicata l’analisi da parte degli esperti di sicurezza.

Il server TLS del malware utilizza un protocollo binario personalizzato per ricevere richieste che contengono il parametro “HasCommand”. Se tale parametro è impostato sul valore appropriato, PolarEdge esegue il comando ricevuto e restituisce il risultato all’attaccante. Il malware adotta anche tecniche di anti-analisi e mascheramento dei processi, scegliendo nomi casuali tra quelli tipici dei sistemi Linux, per sfuggire alle rilevazioni automatizzate.

Meccanismi di persistenza e monetizzazione

Nonostante non garantisca la persistenza dopo un riavvio, PolarEdge implementa una funzione di watchdog: ogni 30 secondi, un processo figlio verifica l’esistenza del processo principale e, in caso contrario, rilancia il backdoor. Questo meccanismo assicura una discreta resilienza finché il dispositivo rimane acceso.

Un aspetto interessante emerso di recente è il collegamento con GhostSocks, un tool che trasforma i dispositivi compromessi in proxy SOCKS5 residenziali, permettendo agli attaccanti di monetizzare la botnet anche dopo l’infezione iniziale, con funzionalità integrate anche in famigerati stealer come Lumma Stealer.