Polarnet tiene sellos distintivos de una caja de relé operativa
Mathew J. Schwartz (euroinfosec) •
18 de agosto de 2025
Imagen: Shutterstock
Un botón de hinchazón en rápida captura de dispositivos de Internet de las cosas en todo el mundo puede ser un frente para las operaciones extranjeras de ciberdirpionaje.Ver también: Lo que los líderes de fabricación están aprendiendo sobre la seguridad en la nube: desde la primera línea de Google
Los equipos infectados muestran signos de malware de que los investigadores llamaron en código Polaredge, software que se dirige a muchos tipos diferentes de dispositivos de borde de clase empresarial y equipo IoT de grado de consumo.
Los atacantes parecían comenzar a ejercer Powerge en junio de 2023, con alrededor de 150 dispositivos en todo el mundo inicialmente cayendo víctimas. Ese número se disparó a casi 40,000 dispositivos, 52% en Corea del Sur y 21% en los Estados Unidos, a partir del 5 de agosto, el 5 de agosto, dice Firma de inteligencia de amenazas censes. Las concentraciones geográficas pueden ser una función de los atacantes que se dirigen a los tipos de dispositivos comúnmente utilizados por los proveedores de servicios de Internet en esas regiones.
Los investigadores dicen que el propósito de Polaredge podría ser crear una red de caja de relevos operacional para disfrazar las operaciones de ciberdirección. Reforzando esa teoría son los objetivos seleccionados por los atacantes: dispositivos siempre activos y estables como cámaras IP, enrutadores de la serie ASUS-RT, cámaras Cisco APIC, almacenamiento y cámaras adjuntas de red. «Ideal para representar el tráfico malicioso bajo la apariencia de usuarios legítimos», escribió Censys.
Los atacantes que construyen una red de dispositivos comprometidos para rebotar tráfico de Internet a través de capas de dispositivos infectados y parecen salir de una dirección IP residencial supuestamente inofensiva no es nada nuevo. Pero los orbes «se han expandido en la adopción de los grupos cibernéticos en los últimos años», dijo Himaja Motheram, investigadora de seguridad en Censys, en una publicación de blog.
Una forma en que los atacantes intentan mantenerse ocultos es que los dispositivos comprometidos presentan la puerta trasera instalada del hacker en puertos TCP altos y no estándar que varían entre 40,000 y 50,000, donde probablemente pueden «volar bajo el radar de los escaneos de red estándar».
Las agencias de inteligencia occidentales parecen tener primero orbes inventados para permitirles evaluar las operaciones cibernéticas y complicar la atribución. La tecnología estuvo disponible comercialmente y más ampliamente adoptada por los piratas informáticos, incluidos los actores chinos-estado-nación.
«Polaredge muestra algunos rasgos similares a los orbe en su persistencia, concentración geográfica y patrones de orientación de dispositivos que son similares a otras campañas similares a los orbe vinculadas a las campañas de espionaje de China-Nexus», dijo Motheram. Pero también tiene diferencias, incluida la exhibición de baja rotación, la velocidad a la que aparecen o desaparecen los dispositivos de la botnet.
Los piratas informáticos de estado-nación como Skurn. «Las redes ORB son una de las principales innovaciones en ciberessionaje chino que desafían a los defensores». dicho Michael Raggi, analista principal de Google Cloud’s Mandiant, en un informe de mayo de 2024. «Son como un laberinto que continuamente se reconfiguran con la entrada y la salida desaparece del laberinto cada 60 a 90 días».
Motheram dijo que una explicación para un ORB de baja rotación puede ser la confiabilidad de los dispositivos infectados o la robusta infraestructura de comando y control.
Honeypots Capture WebShell Exploit
El crédito por descubrir la infraestructura de ataque de malware y potencial de orbe va a Sekoia, después de que sus honeypots registraron intentos de explotar una vulnerabilidad de inyección de comandos en los enrutadores de pequeñas empresas de Cisco rastreados como CVE-2023-20118. Los ataques tenían como objetivo soltar una red web en el dispositivo que pudiera mantener un acceso persistente y remoto.
Sekoia Codenamen el malware y la infraestructura de Botnet asociada que mapearon como Polaredge, basado en el uso de atacantes de una puerta trasera personalizada basada en la biblioteca MBED TLS C, anteriormente conocida como PolarsSL, así como certificados y dispositivos de la marca PolarsSL que viven en el borde de la red.
«El objetivo principal de Polaredge sigue sin estar claro, pero una hipótesis de trabajo sugiere que podría estar utilizando dispositivos comprometidos como cajas de retransmisión operativa para facilitar las operaciones cibernéticas ofensivas», Jeremy Scion y Felix Aimé, investigadores de seguridad en la firma de inteligencia de amenazas Sekoia, dicho En un informe de febrero.
Los investigadores dijeron que el esfuerzo tenía todas las características de ser «una amenaza cibernética bien coordinada y sustancial» que se realizó «realizada por operadores calificados», entre no menos dada la «infraestructura significativa» vinculada a la operación, así como «la complejidad de las cargas útiles».
A partir de enero, alrededor de 2,000 dispositivos en todo el mundo parecían estar infectados con Polaredge, dijo Sekoia. Alrededor de ese tiempo, los atacantes parecían expandir la botnet al comprometer muchos más tipos de dispositivos de grado empresarial. El equipo de consumo dirigido incluye equipos de grado de consumo, como enrutadores ASUS, dispositivos de almacenamiento conectados a la red construidos por Synology, además de otro tipo de firewalls, teléfonos VOIP y cámaras IP.
«Estos son típicamente estables, siempre en dispositivos en el espacio de IP residencial confiable, ideal para representar el tráfico malicioso bajo la apariencia de usuarios legítimos», dijo Motheram de Censys.