Pesquisadores em cibersegurança revelaram detalhes sobre o funcionamento interno da botnet PolarEdge.
Identificada pela primeira vez pela empresa Sekoia em fevereiro de 2025, a botnet está associada a uma campanha que mira roteadores das marcas Cisco, ASUS, QNAP e Synology, com o objetivo de recrutá-los para uma rede cujo propósito final ainda não foi confirmado.
Na sua estrutura básica, o malware é um implant TLS no formato ELF, projetado para monitorar conexões de clientes e executar comandos recebidos por meio delas.
Em agosto de 2025, a plataforma de gestão da superfície de ataque Censys detalhou a infraestrutura que sustenta a botnet, apontando que o PolarEdge exibe características típicas de uma rede conhecida como Operational Relay Box (ORB).
Além disso, há indícios de que as atividades do malware podem ter começado já em junho de 2023.
No esquema de ataques observado em fevereiro de 2025, os invasores exploraram uma vulnerabilidade conhecida nos roteadores Cisco (
CVE-2023-20118
) para baixar um script shell chamado “q” via FTP.
Esse script é responsável por baixar e executar o backdoor PolarEdge no sistema comprometido.
De acordo com a Sekoia, “a função principal do backdoor é enviar uma impressão digital (host fingerprint) do dispositivo infectado ao servidor de comando e controle (C2) e, em seguida, aguardar comandos através de um servidor TLS embutido, implementado com a biblioteca mbedTLS”.
O PolarEdge suporta dois modos de operação: o connect-back, em que o backdoor atua como cliente TLS para baixar arquivos de um servidor remoto; e o modo debug, que permite interação para modificar configurações em tempo real, como as informações do servidor.
A configuração fica embutida nos últimos 512 bytes do arquivo ELF, ofuscada por um XOR de 1 byte que pode ser decodificado com a chave 0x11.
No modo padrão, porém, o malware funciona como um servidor TLS que envia a impressão digital do dispositivo ao C2 e espera por comandos, processando requisições específicas por meio de um protocolo binário customizado.
Um dos parâmetros verificados é o “HasCommand”: quando igual ao caractere ASCII 1, o backdoor extrai e executa o comando especificado, enviando de volta o resultado bruto.
Ao ser ativado, o PolarEdge também movimenta arquivos como /usr/bin/wget e /sbin/curl e apaga arquivos específicos, como “/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak”, embora a motivação exata para esses passos ainda seja desconhecida.
O backdoor incorpora diversas técnicas de anti-análise para esconder detalhes do servidor TLS e da lógica de fingerprint.
Para evitar detecção, ele usa mascaramento de processos, escolhendo aleatoriamente nomes comuns do sistema, como igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd e iapp, durante sua inicialização.
Apesar de não garantir persistência permanente após reinicializações, o PolarEdge utiliza fork para criar um processo filho que, a cada 30 segundos, verifica se o diretório /proc/<parent-pid> existe.
Caso não exista, o processo filho executa um comando shell para reiniciar o backdoor, conforme explicado pelos pesquisadores da Sekoia.
Essa divulgação surge paralelamente a descobertas da Synthient sobre o GhostSocks, um malware que transforma dispositivos infectados em proxies residenciais SOCKS5.
O GhostSocks foi inicialmente oferecido como malware-as-a-service (MaaS) no fórum XSS em outubro de 2023.
Desde o início de 2024, essa funcionalidade foi integrada ao Lumma Stealer, permitindo que os operadores desse stealer monetizem dispositivos comprometidos após a infecção.
Segundo análise da Synthient, “o GhostSocks permite aos clientes criar um DLL ou executável 32-bit, que procura um arquivo de configuração em %TEMP%. Caso não encontre, utiliza uma configuração embutida no código”.
Essa configuração define o servidor C2 para o provisionamento dos proxies SOCKS5, utilizando as bibliotecas open-source go-socks5 e yamux para estabelecer as conexões.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...