el más reciente

― Advertisement ―

Relacionada

TP-Link parchea cuatro fallas en la puerta de enlace Omada, dos...

TP-Link ha publicado actualizaciones de seguridad para afrontar cuatro fallas de seguridad que afectan a los dispositivos de puerta de enlace Omada, incluidos dos...
spot_img
HomeTecnologíaPolarEdge apunta a los enrutadores Cisco, ASUS, QNAP y Synology en una...

PolarEdge apunta a los enrutadores Cisco, ASUS, QNAP y Synology en una campaña de botnet en expansión

Investigadores de ciberseguridad han arrojado luz sobre el funcionamiento interno de un malware botnet llamado borde polar.

PolarEdge fue documentado por primera vez por Sekoia en febrero de 2025, atribuyéndolo a una campaña dirigida a enrutadores de Cisco, ASUS, QNAP y Synology con el objetivo de agruparlos en una red para un propósito aún indeterminado.

El implante ELF basado en TLS, en esencia, está diseñado para monitorear las conexiones entrantes de los clientes y ejecutar comandos interiormente de ellas.

Luego, en agosto de 2025, la plataforma de encargo de superficies de ataque Censys detalló la infraestructura troncal que alimenta la botnet, y la compañía señaló que PolarEdge exhibe características que son consistentes con una red Operational Relay Box (ORB). Hay pruebas que sugieren que la actividad relacionada con el malware puede suceder comenzado ya en junio de 2023.

En las cadenas de ataques observadas en febrero de 2025, se observó que los actores de amenazas explotaban una error de seguridad conocida que afectaba a los enrutadores Cisco (CVE-2023-20118) para descargar un script de shell llamado “q” a través de FTP, que luego es responsable de recuperar y ejecutar la puerta trasera PolarEdge en el sistema comprometido.

“La función principal de la puerta trasera es dirigir una huella digital del host a su servidor de comando y control y luego escuchar los comandos a través de un servidor TLS integrado implementado con mbedTLS”, dijo la compañía francesa de ciberseguridad en un desglose técnico del malware.

PolarEdge está diseñado para acoger dos modos de operación: un modo de conexión posterior, donde la puerta trasera actúa como un cliente TLS para descargar un archivo desde un servidor remoto, y un modo de depuración, donde la puerta trasera ingresa a un modo interactivo para modificar su configuración (es afirmar, información del servidor) sobre la marcha.

Leer  Ghostwriter ligado a Bielorrusia usa MacRopack-Obfuscated Excel Macros para implementar malware

La configuración está incrustada en los últimos 512 bytes de la imagen ELF, ofuscada por un XOR de un byte que se puede descifrar con la esencia de un solo byte 0x11.

Sin bloqueo, su modo predeterminado es funcionar como un servidor TLS para dirigir una huella digital del host al servidor de comando y control (C2) y esperar a que se envíen los comandos. El servidor TLS se implementa con mbedTLS v2.8.0 y se pedestal en un protocolo binario personalizado para analizar solicitudes entrantes que coinciden con criterios específicos, incluido un parámetro denominado “HasCommand”.

Algoritmos de oculto utilizados para ofuscar partes de la puerta trasera

Si el parámetro “HasCommand” es igual al carácter ASCII 1, la puerta trasera extrae y ejecuta el comando especificado en el campo “Comando” y transmite la salida sin procesar del comando ejecutado.

Una vez iniciado, PolarEdge incluso mueve (por ejemplo, /usr/bin/wget, /sbin/curl) y elimina ciertos archivos (“/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak”) en el dispositivo infectado, aunque el propósito exacto detrás de este paso no está claro.

Por otra parte, la puerta trasera incorpora una amplia serie de técnicas antianálisis para ofuscar la información relacionada con la configuración del servidor TLS y la razonamiento de huellas digitales. Para eludir la detección, emplea un proceso de enmascaramiento durante su grado de inicialización eligiendo un nombre al azar de una nómina predefinida. Algunos de los nombres incluidos son: igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd e iapp.

“Aunque la puerta trasera no garantiza la persistencia entre reinicios, pira a fork para ocasionar un proceso hijo que, cada 30 segundos, comprueba si /proc/ “Todavía existe”, explicaron los investigadores de Sekoia. “Si el directorio ha desaparecido, el gurí ejecuta un comando de shell para reiniciar la puerta trasera”.

Leer  Storm-0501 explota Entra ID para exfiltrarse y eliminar los datos de Azure en ataques de nubes híbridas

La divulgación se produce cuando Synthient destacó la capacidad de GhostSocks para convertir dispositivos comprometidos en servidores proxy residenciales SOCKS5. Se dice que GhostSocks se anunció por primera vez bajo el maniquí de malware como servicio (MaaS) en el foro XSS en octubre de 2023.

Vale la pena señalar que la ofrecimiento se integró en Lumma Stealer a principios de 2024, lo que permite a los clientes del malware cleptómano monetizar los dispositivos comprometidos posteriormente de la infección.

“GhostSocks ofrece a los clientes la capacidad de crear un archivo DLL o ejecutable de 32 bits”, afirmó Synthient en un exploración nuevo. “GhostSocks intentará acotar un archivo de configuración en %TEMP%. En el caso de que no se pueda encontrar el archivo de configuración, recurrirá a una configuración codificada”.

La configuración contiene detalles del servidor C2 al que se establece una conexión para aprovisionar el proxy SOCKS5 y, en última instancia, ocasionar una conexión utilizando las bibliotecas de código despejado go-socks5 y yamux.

El más popular

spot_img