Nguyễn Đức Thao
Intern Writer
Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ chuỗi hoạt động và cấu trúc kỹ thuật của PolarEdge, một backdoor/botnet mới được nhận diện lần đầu bởi Sekoia vào tháng 2/2025. PolarEdge chủ yếu nhắm vào bộ định tuyến và thiết bị mạng của các hãng như Cisco, ASUS, QNAP, Synology, với mục tiêu gom các thiết bị bị xâm nhập thành một mạng botnet — mục đích cuối cùng hiện vẫn chưa được xác định rõ ràng.
Theo phân tích, PolarEdge là một cấy ghép ELF sử dụng TLS để giao tiếp: nó có thể giám sát các kết nối đến của client và thực thi lệnh nhận từ máy chủ chỉ huy (C2). Nền tảng quản lý bề mặt tấn công Censys đã mô tả chi tiết cấu trúc hạ tầng hỗ trợ botnet vào tháng 8/2025 và nhận thấy PolarEdge có nhiều đặc điểm tương tự ORB (Operational Relay Box). Có bằng chứng cho thấy hoạt động liên quan có thể bắt đầu từ tháng 6/2023.
Kỹ thuật khai thác, triển khai và cơ chế hoạt động chính của PolarEdge
Trong chuỗi tấn công được Sekoia quan sát tháng 2/2025, kẻ tấn công khai thác lỗ hổng đã biết trên bộ định tuyến Cisco (CVE-2023-20118) để tải xuống một script shell tên là "q" qua FTP. Script này chịu trách nhiệm truy xuất và thực thi backdoor PolarEdge trên thiết bị bị xâm phạm.
Về mặt kỹ thuật, PolarEdge:
Triển khai một máy chủ TLS tích hợp được viết trên mbedTLS v2.8.0 và sử dụng giao thức nhị phân tùy chỉnh để phân tích các yêu cầu đến.
Hoạt động theo hai chế độ: chế độ kết nối lại (backdoor đóng vai trò client TLS để tải xuống tệp từ server từ xa) và chế độ gỡ lỗi (chế độ tương tác để sửa cấu hình ngay lập tức). Tuy nhiên, mặc định là nó hoạt động như máy chủ TLS, gửi dấu vân tay máy chủ đến C2 rồi chờ lệnh.
Cấu hình nhúng nằm trong 512 byte cuối cùng của file ELF, bị che giấu bằng XOR 1 byte với khóa 0x11 — có thể giải mã được bằng thao tác XOR ngược.
Giao thức chứa một tham số gọi là "HasCommand"; nếu tham số này bằng ký tự ASCII 1, backdoor sẽ trích xuất trường "Command" và thực thi lệnh tương ứng, sau đó gửi lại đầu ra thô của lệnh đó cho C2.
Sau khi khởi chạy, PolarEdge còn thực hiện các thao tác như di chuyển các lệnh phổ biến lên hệ thống (ví dụ /usr/bin/wget, /sbin/curl) và xóa những tệp cụ thể trên thiết bị (ví dụ "/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak"), dù mục đích chính xác của bước xóa này chưa được làm rõ.
Để tăng khả năng ẩn mình và chống phân tích, PolarEdge dùng nhiều kỹ thuật:
Ngụy trang tên tiến trình bằng cách chọn ngẫu nhiên một tên từ danh sách định sẵn (vd: igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd, iapp).
Không đảm bảo bền bỉ qua khởi động nhưng gọi fork để tạo tiến trình con; tiến trình con kiểm tra sau mỗi 30 giây xem thư mục /proc/<parent-pid> còn tồn tại không — nếu không còn, nó sẽ thực thi lệnh shell để khởi chạy lại backdoor.
Mối liên hệ với GhostSocks, Lumma Stealer và mô hình MaaS
Tiết lộ về PolarEdge được đưa ra trong bối cảnh các nhà phân tích (ví dụ Synthient) cảnh báo về xu hướng biến thiết bị bị xâm nhập thành proxy dân dụng SOCKS5 bằng dịch vụ GhostSocks — một công cụ được quảng cáo theo mô hình Malware-as-a-Service (MaaS) trên diễn đàn XSS vào tháng 10/2023.
Synthient nêu rằng GhostSocks đã được tích hợp vào Lumma Stealer từ đầu 2024, cho phép kẻ tấn công thương mại hóa thiết bị bị xâm nhập bằng cách biến chúng thành proxy SOCKS5. Cơ chế hoạt động của GhostSocks bao gồm khả năng sinh một DLL hoặc file thực thi 32-bit, tìm file cấu hình trong %TEMP% hoặc dùng cấu hình mã hóa cứng nếu không tìm thấy, rồi thiết lập kết nối proxy bằng go-socks5 và yamux nguồn mở.
Sự kết hợp PolarEdge (điều khiển và hợp nhất thiết bị) với dịch vụ như GhostSocks và Lumma Stealer cho thấy một mô hình tấn công theo lớp: khai thác lỗ hổng thiết bị, triển khai backdoor, sau đó chuyển đổi thiết bị thành proxy thương mại hoặc dịch vụ có thể bán lại, gia tăng lợi nhuận cho tác nhân đe dọa. (thehackernews)
Theo phân tích, PolarEdge là một cấy ghép ELF sử dụng TLS để giao tiếp: nó có thể giám sát các kết nối đến của client và thực thi lệnh nhận từ máy chủ chỉ huy (C2). Nền tảng quản lý bề mặt tấn công Censys đã mô tả chi tiết cấu trúc hạ tầng hỗ trợ botnet vào tháng 8/2025 và nhận thấy PolarEdge có nhiều đặc điểm tương tự ORB (Operational Relay Box). Có bằng chứng cho thấy hoạt động liên quan có thể bắt đầu từ tháng 6/2023.
Kỹ thuật khai thác, triển khai và cơ chế hoạt động chính của PolarEdge
Trong chuỗi tấn công được Sekoia quan sát tháng 2/2025, kẻ tấn công khai thác lỗ hổng đã biết trên bộ định tuyến Cisco (CVE-2023-20118) để tải xuống một script shell tên là "q" qua FTP. Script này chịu trách nhiệm truy xuất và thực thi backdoor PolarEdge trên thiết bị bị xâm phạm.
Về mặt kỹ thuật, PolarEdge:
Triển khai một máy chủ TLS tích hợp được viết trên mbedTLS v2.8.0 và sử dụng giao thức nhị phân tùy chỉnh để phân tích các yêu cầu đến.
Hoạt động theo hai chế độ: chế độ kết nối lại (backdoor đóng vai trò client TLS để tải xuống tệp từ server từ xa) và chế độ gỡ lỗi (chế độ tương tác để sửa cấu hình ngay lập tức). Tuy nhiên, mặc định là nó hoạt động như máy chủ TLS, gửi dấu vân tay máy chủ đến C2 rồi chờ lệnh.
Cấu hình nhúng nằm trong 512 byte cuối cùng của file ELF, bị che giấu bằng XOR 1 byte với khóa 0x11 — có thể giải mã được bằng thao tác XOR ngược.
Giao thức chứa một tham số gọi là "HasCommand"; nếu tham số này bằng ký tự ASCII 1, backdoor sẽ trích xuất trường "Command" và thực thi lệnh tương ứng, sau đó gửi lại đầu ra thô của lệnh đó cho C2.
Sau khi khởi chạy, PolarEdge còn thực hiện các thao tác như di chuyển các lệnh phổ biến lên hệ thống (ví dụ /usr/bin/wget, /sbin/curl) và xóa những tệp cụ thể trên thiết bị (ví dụ "/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak"), dù mục đích chính xác của bước xóa này chưa được làm rõ.
Để tăng khả năng ẩn mình và chống phân tích, PolarEdge dùng nhiều kỹ thuật:
Ngụy trang tên tiến trình bằng cách chọn ngẫu nhiên một tên từ danh sách định sẵn (vd: igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd, iapp).
Không đảm bảo bền bỉ qua khởi động nhưng gọi fork để tạo tiến trình con; tiến trình con kiểm tra sau mỗi 30 giây xem thư mục /proc/<parent-pid> còn tồn tại không — nếu không còn, nó sẽ thực thi lệnh shell để khởi chạy lại backdoor.
Mối liên hệ với GhostSocks, Lumma Stealer và mô hình MaaS
Tiết lộ về PolarEdge được đưa ra trong bối cảnh các nhà phân tích (ví dụ Synthient) cảnh báo về xu hướng biến thiết bị bị xâm nhập thành proxy dân dụng SOCKS5 bằng dịch vụ GhostSocks — một công cụ được quảng cáo theo mô hình Malware-as-a-Service (MaaS) trên diễn đàn XSS vào tháng 10/2023.
Synthient nêu rằng GhostSocks đã được tích hợp vào Lumma Stealer từ đầu 2024, cho phép kẻ tấn công thương mại hóa thiết bị bị xâm nhập bằng cách biến chúng thành proxy SOCKS5. Cơ chế hoạt động của GhostSocks bao gồm khả năng sinh một DLL hoặc file thực thi 32-bit, tìm file cấu hình trong %TEMP% hoặc dùng cấu hình mã hóa cứng nếu không tìm thấy, rồi thiết lập kết nối proxy bằng go-socks5 và yamux nguồn mở.
Sự kết hợp PolarEdge (điều khiển và hợp nhất thiết bị) với dịch vụ như GhostSocks và Lumma Stealer cho thấy một mô hình tấn công theo lớp: khai thác lỗ hổng thiết bị, triển khai backdoor, sau đó chuyển đổi thiết bị thành proxy thương mại hoặc dịch vụ có thể bán lại, gia tăng lợi nhuận cho tác nhân đe dọa. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
