Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ hoạt động bên trong của một phần mềm độc hại botnet có tên PolarEdge.
PolarEdge lần đầu tiên được Sekoia ghi nhận vào tháng 2 năm 2025, cho rằng đây là một chiến dịch nhắm vào các bộ định tuyến của Cisco, ASUS, QNAP và Synology với mục đích tập hợp chúng vào một mạng lưới cho một mục đích chưa xác định.
Cốt lõi của implant ELF dựa trên TLS này là để giám sát các kết nối client đến và thực thi các lệnh bên trong chúng.
Sau đó, vào tháng 8 năm 2025, nền tảng quản lý bề mặt tấn công Censys đã cung cấp thông tin chi tiết về cơ sở hạ tầng hỗ trợ botnet, với công ty lưu ý rằng PolarEdge cho thấy các đặc điểm phù hợp với mạng Operational Relay Box (ORB). Có bằng chứng cho thấy hoạt động liên quan đến phần mềm độc hại này có thể đã bắt đầu từ tháng 6 năm 2023.
Trong các chuỗi tấn công được quan sát vào tháng 2 năm 2025, các tác nhân đe dọa đã được ghi nhận khai thác một lỗ hổng bảo mật đã biết ảnh hưởng đến các bộ định tuyến Cisco (CVE-2023-20118) để tải xuống một shell script có tên "q" qua FTP, sau đó script này chịu trách nhiệm truy xuất và thực thi backdoor PolarEdge trên hệ thống bị xâm nhập.
"Chức năng chính của backdoor là gửi dấu vân tay máy chủ tới máy chủ command-and-control của nó và sau đó lắng nghe các lệnh qua một máy chủ TLS tích hợp được triển khai với mbedTLS," công ty an ninh mạng Pháp cho biết trong một phân tích kỹ thuật về phần mềm độc hại.
PolarEdge được thiết kế để hỗ trợ hai chế độ hoạt động: chế độ connect-back, trong đó backdoor hoạt động như một TLS client để tải xuống tệp từ máy chủ từ xa, và chế độ debug, trong đó backdoor vào chế độ tương tác để sửa đổi cấu hình của nó (tức là thông tin máy chủ) một cách linh hoạt.
Cấu hình được nhúng trong 512 byte cuối cùng của hình ảnh ELF, bị che giấu bằng một XOR một byte có thể được giải mã bằng khóa một byte 0x11.
Tuy nhiên, chế độ mặc định của nó là hoạt động như một TLS server để gửi dấu vân tay máy chủ tới máy chủ command-and-control (C2) và chờ lệnh được gửi. TLS server được triển khai với mbedTLS v2.8.0 và dựa vào một giao thức nhị phân tùy chỉnh để phân tích cú pháp các yêu cầu đến phù hợp với các tiêu chí cụ thể, bao gồm một tham số có tên "HasCommand."
Nếu tham số "HasCommand" bằng ký tự ASCII 1, backdoor sẽ tiến hành trích xuất và chạy lệnh được chỉ định trong trường "Command" và truyền lại đầu ra thô của lệnh đã thực thi.
Khi được khởi chạy, PolarEdge cũng di chuyển (ví dụ: /usr/bin/wget, /sbin/curl) và xóa một số tệp ("/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak") trên thiết bị bị nhiễm, mặc dù mục đích chính xác đằng sau bước này vẫn chưa rõ ràng.
Hơn nữa, backdoor tích hợp một loạt các kỹ thuật anti-analysis để che giấu thông tin liên quan đến thiết lập TLS server và logic lấy dấu vân tay. Để né tránh phát hiện, nó sử dụng process masquerading trong giai đoạn khởi tạo bằng cách chọn ngẫu nhiên một tên từ danh sách định sẵn. Một số tên được bao gồm là: igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd và iapp.
"Mặc dù backdoor không đảm bảo duy trì hoạt động sau khi khởi động lại, nhưng nó gọi fork để tạo một tiến trình con, cứ sau 30 giây, tiến trình con này kiểm tra xem /proc/<parent-pid> còn tồn tại hay không," các nhà nghiên cứu Sekoia giải thích. "Nếu thư mục đã biến mất, tiến trình con sẽ thực thi một shell command để khởi chạy lại backdoor."
Thông tin này được đưa ra khi Synthient nhấn mạnh khả năng của GhostSocks trong việc chuyển đổi các thiết bị bị xâm nhập thành SOCKS5 residential proxies. GhostSocks được cho là đã lần đầu tiên được quảng cáo dưới mô hình malware-as-a-service (MaaS) trên diễn đàn XSS vào tháng 10 năm 2023.
Điều đáng chú ý là dịch vụ này đã được tích hợp vào Lumma Stealer kể từ đầu năm 2024, cho phép khách hàng của phần mềm độc hại stealer này kiếm tiền từ các thiết bị bị xâm nhập sau khi lây nhiễm.
"GhostSocks cung cấp cho khách hàng khả năng xây dựng một DLL hoặc executable 32-bit," Synthient cho biết trong một phân tích gần đây. "GhostSocks sẽ cố gắng định vị một tệp cấu hình trong %TEMP%. Trong trường hợp không tìm thấy tệp cấu hình, nó sẽ quay trở lại cấu hình được mã hóa cứng."
Cấu hình chứa thông tin chi tiết về máy chủ C2 mà một kết nối được thiết lập để cung cấp SOCKS5 proxy và cuối cùng tạo ra một kết nối bằng cách sử dụng các thư viện mã nguồn mở go-socks5 và yamux.
