Investigadores de ciberseguridad han arrojado luz sobre el funcionamiento interno de un malware botnet llamado borde polar.
PolarEdge fue documentado por primera vez por Sekoia en febrero de 2025, atribuyéndolo a una campaña dirigida a enrutadores de Cisco, ASUS, QNAP y Synology con el objetivo de agruparlos en una red para un propósito aún indeterminado.
El implante ELF basado en TLS, en esencia, está diseñado para monitorear las conexiones entrantes de los clientes y ejecutar comandos dentro de ellas.
Luego, en agosto de 2025, la plataforma de gestión de superficies de ataque Censys detalló la infraestructura troncal que alimenta la botnet, y la compañía señaló que PolarEdge exhibe características que son consistentes con una red Operational Relay Box (ORB). Hay pruebas que sugieren que la actividad relacionada con el malware puede haber comenzado ya en junio de 2023.
En las cadenas de ataques observadas en febrero de 2025, se observó que los actores de amenazas explotaban una falla de seguridad conocida que afectaba a los enrutadores Cisco (CVE-2023-20118) para descargar un script de shell llamado «q» a través de FTP, que luego es responsable de recuperar y ejecutar la puerta trasera PolarEdge en el sistema comprometido.
«La función principal de la puerta trasera es enviar una huella digital del host a su servidor de comando y control y luego escuchar los comandos a través de un servidor TLS integrado implementado con mbedTLS», dijo la compañía francesa de ciberseguridad en un desglose técnico del malware.
PolarEdge está diseñado para admitir dos modos de operación: un modo de conexión posterior, donde la puerta trasera actúa como un cliente TLS para descargar un archivo desde un servidor remoto, y un modo de depuración, donde la puerta trasera ingresa a un modo interactivo para modificar su configuración (es decir, información del servidor) sobre la marcha.
La configuración está incrustada en los últimos 512 bytes de la imagen ELF, ofuscada por un XOR de un byte que se puede descifrar con la clave de un solo byte 0x11.
Sin embargo, su modo predeterminado es funcionar como un servidor TLS para enviar una huella digital del host al servidor de comando y control (C2) y esperar a que se envíen los comandos. El servidor TLS se implementa con mbedTLS v2.8.0 y se basa en un protocolo binario personalizado para analizar solicitudes entrantes que coinciden con criterios específicos, incluido un parámetro denominado «HasCommand».
 |
| Algoritmos de cifrado utilizados para ofuscar partes de la puerta trasera |
Si el parámetro «HasCommand» es igual al carácter ASCII 1, la puerta trasera extrae y ejecuta el comando especificado en el campo «Comando» y transmite la salida sin procesar del comando ejecutado.
Una vez iniciado, PolarEdge también mueve (por ejemplo, /usr/bin/wget, /sbin/curl) y elimina ciertos archivos («/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak») en el dispositivo infectado, aunque el propósito exacto detrás de este paso no está claro.
Además, la puerta trasera incorpora una amplia gama de técnicas antianálisis para ofuscar la información relacionada con la configuración del servidor TLS y la lógica de huellas digitales. Para evadir la detección, emplea un proceso de enmascaramiento durante su fase de inicialización eligiendo un nombre al azar de una lista predefinida. Algunos de los nombres incluidos son: igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd e iapp.
«Aunque la puerta trasera no garantiza la persistencia entre reinicios, llama a fork para generar un proceso hijo que, cada 30 segundos, comprueba si /proc/
La divulgación se produce cuando Synthient destacó la capacidad de GhostSocks para convertir dispositivos comprometidos en servidores proxy residenciales SOCKS5. Se dice que GhostSocks se anunció por primera vez bajo el modelo de malware como servicio (MaaS) en el foro XSS en octubre de 2023.
Vale la pena señalar que la oferta se integró en Lumma Stealer a principios de 2024, lo que permite a los clientes del malware ladrón monetizar los dispositivos comprometidos después de la infección.
«GhostSocks ofrece a los clientes la capacidad de crear un archivo DLL o ejecutable de 32 bits», afirmó Synthient en un análisis reciente. «GhostSocks intentará localizar un archivo de configuración en %TEMP%. En el caso de que no se pueda encontrar el archivo de configuración, recurrirá a una configuración codificada».
La configuración contiene detalles del servidor C2 al que se establece una conexión para aprovisionar el proxy SOCKS5 y, en última instancia, generar una conexión utilizando las bibliotecas de código abierto go-socks5 y yamux.