PolarEdge僵尸网络针对Cisco、ASUS、QNAP、Synology路由器的技术分析

网络安全研究人员近日揭示了名为PolarEdge的僵尸网络恶意软件的内部运作机制。该恶意软件最初由Sekoia于2025年2月记录，其攻击活动主要针对Cisco、ASUS、QNAP和Synology的路由器设备，旨在将这些设备纳入僵尸网络以实现尚未明确的目的。

技术架构与传播方式

在2025年2月观察到的攻击链中，攻击者利用影响Cisco路由器的已知安全漏洞（CVE-2023-20118），通过FTP下载名为“q”的shell脚本。该脚本负责在受感染系统上检索并执行PolarEdge后门程序。

这款基于TLS的ELF植入程序核心功能是监控传入的客户端连接，并在连接中执行命令。2025年8月，攻击面管理平台Censys详细分析了支撑该僵尸网络的基础设施骨干，指出PolarEdge表现出与运营中继盒（ORB）网络一致的特征。有证据表明，涉及该恶意软件的活动可能最早始于2023年6月。

后门功能与技术实现

通信机制

后门主要功能是向命令与控制（C2）服务器发送主机指纹，然后通过内置的mbedTLS实现的TLS服务器监听命令。其默认模式是作为TLS服务器运行，使用mbedTLS v2.8.0版本，并依赖自定义二进制协议解析符合特定条件的传入请求，包括名为“HasCommand”的参数。

双模式操作

PolarEdge支持两种操作模式：

• 回连模式：后门作为TLS客户端从远程服务器下载文件
• 调试模式：后门进入交互模式，实时修改其配置（如服务器信息）

配置隐藏与反分析

配置信息嵌入在ELF镜像的最后512字节中，通过单字节XOR混淆（可使用密钥0x11解密）。后门还采用多种反分析技术来混淆TLS服务器设置和指纹识别逻辑。为规避检测，它在初始化阶段通过从预定义列表中随机选择名称进行进程伪装，包括：igmpproxy、wscd、/sbin/dhcpd、httpd、upnpd和iapp。

持久化与清理机制

虽然后门不确保在重启后持久化，但会调用fork生成子进程。该子进程每30秒检查/proc/<父进程PID>是否存在，如果目录消失，则执行shell命令重新启动后门。

启动后，PolarEdge还会移动（如/usr/bin/wget、/sbin/curl）并删除受感染设备上的特定文件（“/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak”），尽管此步骤的确切目的尚不明确。

相关威胁生态

与此同时，Synthient强调了GhostSocks将受感染设备转换为SOCKS5住宅代理的能力。据称GhostSocks于2023年10月在XSS论坛上首次以恶意软件即服务（MaaS）模式进行广告宣传。值得注意的是，该服务已于2024年初集成到Lumma Stealer中，使窃取器恶意软件的客户能够在感染后通过受感染设备获利。

GhostSocks为客户端提供构建32位DLL或可执行文件的能力，会尝试在%TEMP%中定位配置文件。如果找不到配置文件，则回退到硬编码配置。该配置包含C2服务器的详细信息，用于建立连接以配置SOCKS5代理，并最终使用开源go-socks5和yamux库生成连接。