Forscher von Sekoia haben die internen Mechanismen des neuen PolarEdge-Botnetzes offengelegt, das seit Februar 2025 in aktiven Kampagnen beobachtet wird. Im Visier stehen Cisco-, ASUS-, QNAP- und Synology-Systeme, die zu einem verteilten Netzwerk zusammengeschlossen werden. Eine unabhängige Infrastrukturanalyse von Censys aus August 2025 deutet darauf hin, dass die Aktivitaet bis Juni 2023 zurueckreichen koennte und Merkmale eines Operational Relay Box (ORB)-Netzwerks aufweist – also einer Proxy-Infrastruktur, die Angreifer zur Verschleierung von Steuerverkehr und Attribution nutzen.
Initialzugang: Ausnutzung von CVE-2023-20118 in Cisco-Routern
In dokumentierten Vorfaellen missbrauchten die Betreiber eine bekannte Schwachstelle in Cisco-Geraeten, CVE-2023-20118. Ueber FTP wird zunaechst ein Shell-Skript namens q auf das Zielgbyte heruntergeladen und gestartet. Dieses Minimalskript dient als Foothold und zieht im zweiten Schritt die eigentliche PolarEdge-Backdoor nach. Dieses zweistufige Muster ist typisch fuer IoT/SoHo-Bedrohungen und erschwert die fruehe Erkennung.
Backdoor-Architektur: TLS-Server, Protokoll und Konfiguration
Die Backdoor sammelt Host-Telemetrie und wartet anschliessend auf Befehle ueber einen eingebetteten TLS-Server. Sie basiert auf mbedTLS v2.8.0 und implementiert ein custom Binary Protocol. Zentrales Feld ist HasCommand: Steht es auf ASCII-„1“, liest die Malware die Anweisung aus Command, fuehrt sie systemseitig aus und uebergibt das Ergebnis an den Operator.
PolarEdge beherrscht zwei Betriebsmodi. Im Backconnect-Modus agiert die Malware als TLS-Client, um Dateien von entfernten Servern abzuholen. Ein „Debug“-Modus erlaubt die Live-Rekonfiguration – inklusive Aenderung der C2-Endpunkte. Standardmaessig arbeitet die Backdoor jedoch als TLS-Server, der eingehende Operator-Verbindungen akzeptiert.
Die Konfigurationsdaten sind in den letzten 512 Bytes der ELF-Datei eingebettet und per XOR mit dem Ein-Byte-Schluessel 0x11 verschleiert. Diese einfache, aber wirksame Technik erschwert statische Analysen und das Auslesen von C2-Parametern ohne Laufzeitinstrumentierung.
Tarnung, Anti-Analyse und Persistenz-Taktiken
Zur Minimierung forensischer Spuren verschleiert PolarEdge Details des TLS-Stacks und der Fingerprinting-Logik. Bei der Initialisierung maskiert die Malware ihren Prozessnamen als haeufige Systemdienste wie igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd, iapp, um in Prozesslisten unauffaellig zu bleiben.
Nach erfolgreicher Infektion verlagert die Backdoor /usr/bin/wget und /sbin/curl und loescht die Datei /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak. Zweck und Effekt sind noch unklar; denkbar sind das Unterbrechen gewohnter Admin-Routinen oder das Verdecken vorbereitender Tools.
Eine klassische Autostart-Persistenz setzt PolarEdge nicht, jedoch existiert ein Watchdog: Der Elternprozess forkt, und der Kindprozess prueft alle 30 Sekunden /proc/<parent-pid>. Verschwindet der Elternprozess, startet das Kind die Backdoor ueber eine Shell neu. Damit wird ein simples „Killen“ des Prozesses ohne umfassende Bereinigung erschwert.
ORB-Merkmale und Risiken fuer Netzwerke
Die von Censys beobachtete Infrastruktur gleicht ORB-Proxynetzen: verteilte Relays, ueber die Kommandos und Payloads weitergeleitet werden. Das erhoeht die Resilienz, behindert IP-basierte Blockaden und erschwert die Attribution. Sollte die Kampagne tatsaechlich seit 2023 laufen, ist mit langfristig kompromittierten Geraeten zu rechnen – mit Risiken von Ressourcenmissbrauch bis zu seitlichen Bewegungen in Unternehmensnetzen.
Erkennung und Abwehr: Massnahmen fuer Cisco, ASUS, QNAP, Synology
Patching und Angriffsoberflaeche minimieren
Sicherheitsupdates fuer CVE-2023-20118 und weitere Firmware-Luecken zeitnah einspielen. Nicht benoetigte FTP/TFTP-Dienste deaktivieren oder strikt begrenzen. Herstellerhinweise (z. B. Cisco PSIRT) regelmaessig pruefen.
Threat Hunting und Monitoring
Nach Prozessmaskierung suchen (Systemdienste mit ungewoehnlichen Pfaden/Parametern), das Auftreten eines ungewoehnlichen TLS-Dienstes auf Edge- oder NAS-Geraeten pruefen sowie Veraenderungen an wget/curl und fehlende erwartete Backup-Dateien auf NAS inventarisieren. Ausgehenden Traffic auf anomalische Ziele ueberwachen.
Netzsegmentierung und Protokollanalyse
IoT/NAS strikt segmentieren, administrativen Fernzugriff auf Allowlists beschraenken, und zentralisierte Logs samt NetFlow/PCAP erfassen. Achten Sie auf ungewoehnliche TLS-Handshakes oder proprietaere Protokolle ueber TLS.
PolarEdge steht exemplarisch fuer die Weiterentwicklung von Botnetzen im IoT- und NAS-Umfeld: schlanke Artefakte, verdeckte TLS-Kommunikation, konfigurierbare C2-Parameter und moegliche ORB-Architektur erschweren Verteidigung und Attribution. Organisationen sollten jetzt patchen, Segmentierung und Monitoring verschaerfen und klare Response-Playbooks bereithalten. Eine fruehzeitige Ueberpruefung verwundbarer Geraete und saubere Konfigurationen senken messbar das Risiko, unbemerkt Teil einer Proxy-Infrastruktur zu werden. Quellen: Sekoia, Censys, oeffentliche Herstellerhinweise (u. a. Cisco PSIRT)
