Phát hiện Botnet: Botnet PolarEdge đã được nhóm Phát hiện và Nghiên cứu Mối đe dọa (TDR) tại Sekoia phát hiện, hoạt động từ ít nhất cuối năm 2023.
Khai thác CVE-2023-20118: Botnet này khai thác một lỗ hổng thực thi mã từ xa (RCE), CVE-2023-20118, ảnh hưởng đến nhiều mô hình Bộ định tuyến Kinh doanh Nhỏ của Cisco. Lỗ hổng này xuất phát từ việc xác thực đầu vào không đúng cách trong tập tin /cgi-bin/config_mirror.exp, cho phép kẻ tấn công thực thi lệnh từ xa bằng cách tạo ra những yêu cầu HTTP độc hại.
Thời gian tấn công: Vào ngày 22 tháng 1 năm 2025, nhóm TDR đã phát hiện các hoạt động mạng bất thường qua những thiết bị giả mạo (honeypots), cho thấy có sự cố gắng khai thác lỗ hổng CVE-2023-20118. Giữa ngày 22 và 31 tháng 1 năm 2025, kẻ tấn công đã triển khai một webshell được mã hóa base64 và nén gzip tới những bộ định tuyến dễ bị tổn thương. Đến ngày 10 tháng 2 năm 2025, kẻ tấn công đã thay thế webshell bằng một cài đặt backdoor TLS, cho thấy sự chuyển hướng sang cơ sở hạ tầng botnet quy mô lớn.
Các thiết bị bị lây nhiễm: Botnet này đã lây nhiễm hơn 2,000 thiết bị trên toàn cầu, với số lượng lây nhiễm cao nhất ở Mỹ (540 IPs), tiếp theo là Đài Loan và Nam Mỹ. Botnet có khả năng nhắm đến nhiều kiến trúc khác nhau, bao gồm các thiết bị của Cisco, Asus, QNAP và Synology.
Kỹ thuật né tránh và duy trì: PolarEdge sử dụng nhiều kỹ thuật né tránh và duy trì khác nhau, như xóa bỏ dấu vết hiện diện bằng cách xóa nhật ký và dấu hiệu thực thi, tiêu diệt các malware cạnh tranh, khai thác kênh lệnh mã hóa bằng Mbed TLS, và cập nhật động cơ sở hạ tầng tấn công thông qua các thuật toán sinh miền (DGA).
Ảnh hưởng toàn cầu: Báo cáo kết luận rằng botnet PolarEdge đã hoạt động từ ít nhất cuối năm 2023, nhằm vào nhiều thiết bị và có liên quan đến cơ sở hạ tầng quan trọng, cho thấy sự mở rộng liên tục của các hoạt động của botnet này.
