PolarEdge botnet
A Sekoia TDR jelentése szerint a PolarEdge egy újonnan azonosított IoT-botnet, amely különösen stabil és mindig elérhető eszközöket céloz, így a routereket, hálózati tárolókat (NAS), IP-kamerákat – olyanokat, amelyek gyakran Cisco, Asus, QNAP és Synology gyártmányúak, és tipikusan otthoni vagy kisvállalati környezetben működnek. A botnet alapja egy jól kihasznált hibára épül, a CVE‑2023‑20118-as sebezhetőségre – ez több Cisco Small Business Router modell webes felületén található, és távoli parancsvégrehajtást tesz lehetővé jogosulatlan támadó számára.
A Sekoia TDR honeypotjai 2025 januárjában észlelték, hogy a támadók először webshell-t telepítettek az érintett eszközökre, majd februárban áttértek egy TLS-alapú backdoor használatára. Ez a titkosított kapcsolat többek között lehetővé teszi a C2 szerverrel való kommunikációt, és biztonságos csatornát biztosít a parancsok indításához és adatátvitelhez.
A botnet elterjedése gyors volt, a Sekoia 2025 januárjára kb. 2 000 fertőzött eszközt azonosított, 2025 augusztusára már közel 40 000 eszköz csatlakozott hozzászólás szerint – különösen nagy koncentrációban Dél-Koreában és az Egyesült Államokban. A célpad szereplő eszközök mindig elérhetők, így ideálisak lehetnek a támadók számára arra, hogy működésük során a rosszindulatú hálózatuk adatforgalmát is ezekre irányítsák — egyfajta proxyként vagy relay box-ként működhetnek az anonim támadásokhoz (ORB-hálók).
Az ORB (Operational Relay Box) modellek épp abban különböznek hagyományos botnetektől, hogy nem pusztán bot seregekként működnek, hanem stratégiailag elhelyezett, megbízható, és rejtetten működő csomópontokat biztosítanak kiberkampányok végrehajtására — ezzel nehezítve a nyomozást és az attribúciót
