PolarEdge es una botnet detectada por primera vez en febrero de 2025 que compromete enrutadores Cisco, ASUS, QNAP y Synology para formar una red de dispositivos controlada remotamente. Emplea un implante ELF que usa TLS para enviar huellas del host al servidor C2 y ejecutar comandos recibidos mediante un protocolo binario personalizado.
El ataque aprovecha la vulnerabilidad CVE-2023-20118 en enrutadores Cisco para descargar un script que instala la puerta trasera PolarEdge. Incluye modos de conexión y depuración, configuración ofuscada con XOR y técnicas anti-análisis y evasivas (por ejemplo, enmascaramiento de procesos).
Aunque no persiste tras reinicios, implementa un proceso secundario que le permite auto-reiniciarse si el proceso principal es terminado.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Los actores de amenazas explotan la falla de seguridad que afecta a los enrutadores para descargar un script de shell llamado «q» a través de FTP, que luego es responsable de recuperar y ejecutar la puerta trasera PolarEdge en el sistema comprometido. La función principal de la puerta trasera es enviar una huella digital del host a su servidor de comando y control y luego escuchar comandos a través de un servidor TLS incorporado implementado con mbedTLS.
PolarEdge está diseñado para admitir dos modos de operación: un modo de conexión, donde la puerta trasera actúa como un cliente TLS para descargar un archivo de un servidor remoto, y el modo de depuración, donde la puerta trasera entra en un modo interactivo para modificar su configuración (es decir, información del servidor) sobre la marcha.
