Devis de remise multi-licences
Données concernant les menaces Botnets Botnet PolarEdge

Botnet PolarEdge

Par Mezo en Botnets
Se traduisent par :

Des chercheurs en sécurité ont récemment décrypté les mécanismes d'une famille de botnets ciblant les routeurs, baptisée PolarEdge. Sa combinaison de communication TLS, d'astuces de configuration intégrées et de mesures anti-analyse délibérées en fait une menace notable pour les équipements réseau domestiques et des PME.

Chronologie et découverte

Les chercheurs ont documenté PolarEdge pour la première fois en février 2025, l'associant à des campagnes ciblant des routeurs et des périphériques NAS de plusieurs fournisseurs. En août 2025, les analystes avaient cartographié une grande partie de l'infrastructure du botnet et observé des caractéristiques compatibles avec un réseau de type ORB (Operational Relay Box). La télémétrie rétrospective suggère que certaines activités de PolarEdge pourraient remonter à juin 2023.

Cibles et accès initial

Les appareils des principaux fournisseurs, notamment Cisco, ASUS, QNAP et Synology, ont été identifiés comme cibles, soulignant que les routeurs et les systèmes NAS de qualité professionnelle et grand public risquent d'être exploités.

Lors des attaques de février 2025, les acteurs malveillants ont exploité une vulnérabilité connue de Cisco (CVE-2023-20118) pour récupérer un petit script shell fourni par FTP nommé « q ». Le rôle de ce script était de récupérer et de lancer la porte dérobée PolarEdge ELF sur l'hôte compromis.

Conception d’implants centraux

PolarEdge est un implant ELF compatible TLS qui principalement :

  • Envoie une empreinte digitale d'hôte à un serveur de commande et de contrôle (C2), puis
  • Attend les commandes sur un serveur TLS intégré implémenté à l'aide de mbedTLS v2.8.0.

Par défaut, l'implant agit comme un serveur TLS utilisant un protocole binaire personnalisé. L'un des champs clés du protocole est « HasCommand » : lorsque ce champ contient le caractère ASCII 1, l'implant lit le champ « Commande », exécute la commande spécifiée localement et renvoie le résultat brut de la commande au C2.

Modes de fonctionnement

PolarEdge prend en charge deux modes supplémentaires :

Mode de connexion arrière : l'implant se comporte comme un client TLS pour extraire des fichiers de serveurs distants.

Mode débogage : un mode interactif qui permet aux opérateurs de modifier les paramètres de configuration (par exemple, les adresses des serveurs) à la volée.

Configuration intégrée et obfuscation

Le botnet stocke sa configuration d'exécution dans les 512 derniers octets de l'image ELF. Ce bloc est masqué par un XOR sur un seul octet ; les chercheurs indiquent que la clé XOR est 0x11, et qu'elle doit être appliquée pour récupérer la configuration.

Opérations sur les fichiers

Après exécution, l'implant déplace et supprime des systèmes de fichiers (par exemple, des binaires tels que /usr/bin/wget et /sbin/curl, et des fichiers tels que /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). L'objectif opérationnel précis de ces actions n'est pas entièrement compris à partir des données disponibles.

Techniques d’évasion et d’anti-analyse

PolarEdge intègre une gamme de mécanismes défensifs sophistiqués conçus pour échapper à la détection et entraver l'analyse, ce qui rend plus difficile pour les chercheurs en sécurité et les outils automatisés d'identifier son comportement et de décortiquer son fonctionnement interne.

Il masque les détails de ses routines d'initialisation et d'empreinte digitale du serveur TLS via l'obfuscation.

Au démarrage, il effectue un masquage de processus, en choisissant aléatoirement un nom de processus dans une liste intégrée pour se fondre dans les services système légitimes.

Certains des noms possibles incluent :

  • proxy igmp
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Résilience sans persévérance classique

PolarEdge ne semble pas installer de mécanisme de persistance traditionnel résistant aux redémarrages. Il utilise plutôt une astuce d'exécution : il se divise en deux et le processus enfant interroge toutes les 30 secondes pour vérifier si le répertoire /proc/ du processus parent existe toujours. Si ce répertoire disparaît (indiquant la disparition du processus parent), le processus enfant exécute une commande shell pour relancer la porte dérobée, offrant ainsi une récupération opportuniste à l'exécution plutôt qu'une persistance permanente au démarrage.

Plats à emporter défensifs

Les organisations gérant des routeurs et des périphériques NAS doivent s'assurer d'appliquer les mises à jour et les mesures d'atténuation des fournisseurs pour la vulnérabilité CVE-2023-20118 et les vulnérabilités d'exécution à distance similaires. Elles doivent surveiller activement toute activité TLS inhabituelle des appliances réseau et les connexions sortantes vers des hôtes inattendus. Il est également essentiel de surveiller les signes de masquage de processus et toute modification ou suppression non autorisée des binaires réseau et des scripts web.

 

Tendance

American Express - Arnaque au blocage de la...

Hameçonnage, Courrier indésirable
Les cybercriminels exploitent souvent la notoriété des marques de confiance pour inciter des utilisateurs peu méfiants à révéler des informations sensibles. L'arnaque « American Express - Tentative de connexion bloquée » en est un parfait exemple. Ces e-mails se font passer pour des alertes de sécurité d'American Express, affirmant qu'une tentative de connexion suspecte a été bloquée et...

Le plus regardé

Chargement...