Фахівці з кібербезпеки виявили масштабну кампанію ботнету PolarEdge, що заражає маршрутизатори провідних брендів — Cisco, ASUS, QNAP і Synology. Мета зловмисників — створення розподіленої мережі заражених пристроїв, яка може використовуватись для подальших атак або прихованих операцій. Уразливість дозволяє виконувати команди на пристроях без відома користувачів, перетворюючи їх на вузли ботнету.
Ботнет PolarEdge уперше задокументували дослідники Sekoia у лютому 2025 року. Вони зафіксували, що хакери використовували відому уразливість у маршрутизаторах Cisco (CVE-2023-20118), завдяки якій завантажували шкідливий скрипт “q”, який інсталював бекдор PolarEdge. Цей шкідливий код — це TLS-захищений ELF-імплант, що здатен відстежувати підключення клієнтів і виконувати віддалені команди, використовуючи власний TLS-сервер на основі mbedTLS 2.8.0.
PolarEdge має два режими роботи:
- connect-back — підключення до віддаленого сервера для отримання файлів;
- debug-mode — зміна конфігурації в реальному часі.
Конфігураційні дані шифруються в останніх 512 байтах файлу ELF через однобайтовий XOR-ключ (0x11).
Щоб уникнути виявлення, зловмисники використовують маскування процесів (назви типу igmpproxy, httpd, dhcpd) і антианалізні методи. PolarEdge не зберігається після перезавантаження, однак кожні 30 секунд перевіряє активність батьківського процесу, перезапускаючи себе за потреби.
Крім того, ботнет здатен видаляти або змінювати системні файли, хоча точна мета цих дій залишається невідомою.
Аналітики Censys у серпні 2025 року описали інфраструктуру PolarEdge, визначивши її як операційну релейну мережу (ORB-network) — складну архітектуру для прихованого керування зараженими вузлами. Є підстави вважати, що активність ботнету почалася ще у 2023 році.
Експерти також порівнюють PolarEdge із GhostSocks — системою, що перетворює зламані пристрої на SOCKS5-проксі, яку пізніше інтегрували в Lumma Stealer для монетизації інфікованих хостів. Це демонструє тенденцію — злиття ботнетів і шкідливих сервісів у комерційні MaaS-платформи (malware-as-a-service).
PolarEdge — черговий приклад еволюції шкідливих ботнетів, які маскуються під легальні процеси й діють через відомі вразливості обладнання.
Фахівці закликають адміністраторів негайно оновити прошивки маршрутизаторів, відстежувати підозрілий TLS-трафік і перевіряти системні процеси. Без своєчасного оновлення навіть звичайний домашній роутер може стати частиною глобальної ботмережі.
