Investigadores de Sekoia han desgranado el funcionamiento interno de PolarEdge, un botnet observado en campañas activas desde febrero de 2025 y que apunta a dispositivos Cisco, ASUS, QNAP y Synology. Un análisis de infraestructura realizado por Censys sugiere actividad sostenida al menos desde junio de 2023 y muestra rasgos de Operational Relay Box (ORB), es decir, redes de proxys distribuidos que encubren el tráfico y complican la atribución.
Vector de ataque: explotación de CVE-2023-20118 y cadena inicial
En los incidentes analizados, los operadores de PolarEdge aprovecharon la vulnerabilidad CVE-2023-20118 en equipos Cisco para obtener acceso. Tras la intrusión, se transfiere vía FTP un script de shell llamado q que descarga y ejecuta el backdoor PolarEdge. Este enfoque en dos fases es típico en amenazas IoT/SoHo: un implante mínimo establece el foothold inicial y, a continuación, se despliega la carga útil con más funcionalidades.
Arquitectura del backdoor: TLS, protocolo de mando y configuración
Comunicación cifrada y ejecución de órdenes
La función básica del backdoor PolarEdge consiste en recolectar información del host y remitirla a la infraestructura de mando, para luego esperar instrucciones a través de un servidor TLS integrado. El componente emplea mbedTLS v2.8.0 y un protocolo binario personalizado para interpretar peticiones. Un parámetro clave es HasCommand: cuando su valor es el carácter ASCII «1», el implante extrae la orden del campo Command, la ejecuta en el dispositivo y devuelve la salida al operador.
Modos de operación y ocultación de la configuración
PolarEdge opera en dos modos: un modo de backconnect en el que actúa como cliente TLS para descargar ficheros de un servidor remoto, y un modo “debug” que permite reconfigurar de forma interactiva parámetros clave, incluidos los nodos de mando y control. Por defecto, la muestra se comporta como servidor TLS, aceptando conexiones entrantes de los operadores.
La configuración viene embebida y cifrada en los últimos 512 bytes del binario ELF, ofuscada mediante XOR 0x11. Este recurso, aunque simple, dificulta el análisis estático y la extracción de direcciones C2 sin ejecutar el artefacto.
Evasión, resistencia y acciones post-infección
Para reducir su huella, PolarEdge aplica enmascaramiento de proceso, adoptando nombres comunes del sistema como igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd, iapp. Además, oculta detalles de su servidor TLS y de la lógica de identificación del host, lo que frena la ingeniería inversa.
Tras la infección, se ha observado el movimiento de /usr/bin/wget y /sbin/curl y la eliminación de /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak en entornos NAS. El propósito no está plenamente aclarado; podría orientarse a interferir con rutinas de administración o a borrar rastros de herramientas previas.
Aunque no implementa un mecanismo de autostart clásico, el malware emplea una técnica de “watchdog” por fork: el proceso padre hace fork y el hijo verifica cada 30 segundos la existencia de /proc/<parent-pid>. Si el padre desaparece, el hijo relanza el backdoor mediante una orden de shell, lo que complica su erradicación parcial.
Infraestructura tipo ORB: impacto en defensa y atribución
Los patrones identificados por Censys encajan con redes ORB: nodos intermediarios que proxyan el control y las cargas útiles para aumentar la resiliencia, eludir bloqueos por IP y desdibujar la atribución. Si la campaña se remonta a mediados de 2023, algunos dispositivos podrían haber permanecido comprometidos durante meses, abriendo la puerta a movimientos laterales y al abuso de recursos de red sin ser detectados.
Detección y mitigación: pasos recomendados para Cisco, ASUS, QNAP y Synology
— Aplicar sin demora los parches para CVE-2023-20118 y otras vulnerabilidades de firmware. Deshabilitar FTP/TFTP si no son imprescindibles y restringir servicios de administración a una allowlist.
— Realizar caza de amenazas en los perímetros: procesos con nombres “sistémicos” inusuales, aparición de un servicio TLS no esperado, cambios en las rutas de wget/curl o ausencia de ficheros de respaldo esperados en NAS.
— Monitorizar conexiones salientes y segmentar las VLAN de IoT/NAS. Implementar NetFlow/PCAP para detectar handshakes TLS atípicos o protocolos no estándar encapsulados en TLS.
— Centralizar registros y revisar configuraciones con regularidad. Ante signos de compromiso, aislar el dispositivo, reimplantar firmware de confianza y rotar credenciales administrativas.
PolarEdge ejemplifica la evolución de los botnets para dispositivos de red y NAS: trazas mínimas, canal TLS encubierto, configuración flexible y rasgos de arquitectura ORB. La combinación de actualización oportuna de firmware, segmentación, observabilidad y procedimientos de respuesta reduce de forma decisiva el riesgo de que la infraestructura termine integrándose en una red de proxies operada por atacantes. Priorizar parches, visibilidad y control de superficie expuesta es el siguiente paso tangible para elevar la resiliencia.
