PolarEdge fait beaucoup parler de lui dans le milieu de la cybersécurité. Ce botnet évolue rapidement en exploitant des failles sur plusieurs marques reconnues. Il représente une menace réelle pour les infrastructures réseau pro et grand public.
PolarEdge étend son emprise sur les routeurs Cisco, ASUS, QNAP et Synology
Depuis février 2025, PolarEdge cible massivement des routeurs et serveurs NAS issus de Cisco, ASUS, QNAP et Synology. Cette campagne malicieuse exploite notamment une vulnérabilité critique dite CVE-2023-20118, présente sur certains routeurs Cisco. Par un script FTP nommé « q », le malware installe une porte dérobée capable de capter des données et d’exécuter des commandes.
La particularité de ce botnet est sa double fonctionnalité. Il peut recevoir des ordres en mode serveur TLS tandis qu’en mode debug, il permet de changer sa configuration en temps réel. Les développeurs ont opté pour un chiffrement léger (XOR) pour camoufler la configuration stockée à la fin du binaire ELF embarqué.
Fonctionnalités techniques avancées du malware PolarEdge
PolarEdge fonctionne via un serveur TLS intégré, exploitant la bibliothèque mbedTLS version 2.8.0. L’implant surveille les paquets entrants, détecte les commandes spécifiques, et exécute les instructions dès qu’un certain paramètre nommé « HasCommand » est activé. Ensuite, il renvoie les résultats bruts de la commande au serveur de commande.
Le malware intègre également plusieurs techniques anti-analyse. Par exemple, il masque son exécution en empruntant des noms de processus système courants comme igmpproxy ou httpd. De plus, il assure une résilience partielle en forçant un démarrage automatique via un processus enfant qui vérifie la présence du processus parent.
Une menace devenant un relais opérationnel sur les infrastructures critiques
Les chercheurs révèlent que PolarEdge est probablement la tête d’un réseau de relais opérationnels (ORB) utilisés pour gérer et anonymiser le trafic des équipements infectés. Ce mode opératoire suggère une sophistication qui dépasse la simple collecte d’accès, orientant plutôt vers une infrastructure destinée à des opérations de grande échelle.
Plus inquiétant : l’étude menée par Censys en août 2025 indique que PolarEdge pourrait servir à multiplier les proxys SOCKS5 résidentiels via des périphériques infectés. À ce titre, ce botnet ne se limite plus à des attaques ciblées mais facilite des activités lucratives comme la revente d’accès anonymes.
GhostSocks et l’intégration du botnet dans les services de cybercriminalité
PolarEdge interagit désormais avec d’autres malwares comme Lumma Stealer, qui utilise GhostSocks pour convertir les appareils compromis en proxys. Ce malware en tant que service a été mis en avant dès octobre 2023, mais son intégration dans le profil de PolarEdge met en lumière une évolution vers un écosystème criminel coordonné.
GhostSocks génère des DLL ou exécutables en 32 bits configurables grâce à un fichier local ou des paramètres prédéfinis, connectant ensuite l’appareil à des serveurs de contrôle dédiés via des bibliothèques open-source. Le résultat : un maillage dense facilitant des opérations illégales sans laisser de traces.
Source: thehackernews.com
- Windows 11 : Test complet des mises à jour de mars 2026 – Nouvelles fonctionnalités, améliorations et corrections détaillées - mars 12, 2026
- Windows 11 KB5079473 : nouveautés et liens de téléchargement direct pour une installation hors ligne - mars 11, 2026
- fonctionnalités de Windows 11 qui ralentissent votre ordinateur - mars 10, 2026
