Investigadores de ciberseguridad han arrojado luz sobre el funcionamiento interno de un malware botnet llamado borde polar.
PolarEdge fue documentado por primera vez por Sekoia en febrero de 2025, atribuyéndolo a una campaña dirigida a enrutadores de Cisco, ASUS, QNAP y Synology con el objetivo de agruparlos en una red para un propósito aún indeterminado.
El implante ELF basado en TLS, en esencia, está diseñado para monitorear las conexiones entrantes de los clientes y ejecutar comandos en el interior de ellas.
Luego, en agosto de 2025, la plataforma de encargo de superficies de ataque Censys detalló la infraestructura troncal que alimenta la botnet, y la compañía señaló que PolarEdge exhibe características que son consistentes con una red Operational Relay Box (ORB). Hay pruebas que sugieren que la actividad relacionada con el malware puede sobrevenir comenzado ya en junio de 2023.
En las cadenas de ataques observadas en febrero de 2025, se observó que los actores de amenazas explotaban una rotura de seguridad conocida que afectaba a los enrutadores Cisco (CVE-2023-20118) para descargar un script de shell llamado «q» a través de FTP, que luego es responsable de recuperar y ejecutar la puerta trasera PolarEdge en el sistema comprometido.
«La función principal de la puerta trasera es destinar una huella digital del host a su servidor de comando y control y luego escuchar los comandos a través de un servidor TLS integrado implementado con mbedTLS», dijo la compañía francesa de ciberseguridad en un desglose técnico del malware.
PolarEdge está diseñado para recibir dos modos de operación: un modo de conexión posterior, donde la puerta trasera actúa como un cliente TLS para descargar un archivo desde un servidor remoto, y un modo de depuración, donde la puerta trasera ingresa a un modo interactivo para modificar su configuración (es asegurar, información del servidor) sobre la marcha.
La configuración está incrustada en los últimos 512 bytes de la imagen ELF, ofuscada por un XOR de un byte que se puede descifrar con la esencia de un solo byte 0x11.
Sin secuestro, su modo predeterminado es funcionar como un servidor TLS para destinar una huella digital del host al servidor de comando y control (C2) y esperar a que se envíen los comandos. El servidor TLS se implementa con mbedTLS v2.8.0 y se pedestal en un protocolo binario personalizado para analizar solicitudes entrantes que coinciden con criterios específicos, incluido un parámetro denominado «HasCommand».
 |
| Algoritmos de secreto utilizados para ofuscar partes de la puerta trasera |
Si el parámetro «HasCommand» es igual al carácter ASCII 1, la puerta trasera extrae y ejecuta el comando especificado en el campo «Comando» y transmite la salida sin procesar del comando ejecutado.
Una vez iniciado, PolarEdge todavía mueve (por ejemplo, /usr/bin/wget, /sbin/curl) y elimina ciertos archivos («/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak») en el dispositivo infectado, aunque el propósito exacto detrás de este paso no está claro.
Adicionalmente, la puerta trasera incorpora una amplia tono de técnicas antianálisis para ofuscar la información relacionada con la configuración del servidor TLS y la deducción de huellas digitales. Para esquivar la detección, emplea un proceso de enmascaramiento durante su período de inicialización eligiendo un nombre al azar de una nómina predefinida. Algunos de los nombres incluidos son: igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd e iapp.
«Aunque la puerta trasera no garantiza la persistencia entre reinicios, flama a fork para gestar un proceso hijo que, cada 30 segundos, comprueba si /proc/
La divulgación se produce cuando Synthient destacó la capacidad de GhostSocks para convertir dispositivos comprometidos en servidores proxy residenciales SOCKS5. Se dice que GhostSocks se anunció por primera vez bajo el maniquí de malware como servicio (MaaS) en el foro XSS en octubre de 2023.
Vale la pena señalar que la ofrecimiento se integró en Lumma Stealer a principios de 2024, lo que permite a los clientes del malware saqueador monetizar los dispositivos comprometidos luego de la infección.
«GhostSocks ofrece a los clientes la capacidad de crear un archivo DLL o ejecutable de 32 bits», afirmó Synthient en un exploración flamante. «GhostSocks intentará encontrar un archivo de configuración en %TEMP%. En el caso de que no se pueda encontrar el archivo de configuración, recurrirá a una configuración codificada».
La configuración contiene detalles del servidor C2 al que se establece una conexión para aprovisionar el proxy SOCKS5 y, en última instancia, gestar una conexión utilizando las bibliotecas de código campechano go-socks5 y yamux.
