Selon Censys (billet de blog), PolarEdge est un botnet IoT soupçonné d’opérer comme un réseau ORB (Operational Relay Box), ayant compromis près de 40 000 appareils depuis 2023 et s’appuyant sur un backdoor TLS personnalisé.

• Nature et portée 📡 PolarEdge met en place une infrastructure de proxy résidentiel à long terme pour des opérations malveillantes, en maintenant une faible visibilité via des ports élevés et un chiffrement légitime. La concentration géographique est élevée en Corée du Sud (51,6 %) et aux États‑Unis (21,1 %).

• Cibles et composants affectés 🎯 Le botnet vise des équipements « edge » variés, notamment des contrôleurs Cisco APIC (2 502 hôtes), des routeurs ASUS RT‑series (1 133) et des NAS Synology (692), à l’aide d’un backdoor TLS personnalisé dérivé de Mbed TLS (PolarSSL).

• Tactiques et fonctionnement 🔧 Le malware opère sur des ports TCP aléatoires élevés (40000–50000) pour échapper aux scans courants et utilise un certificat autosigné distinctif pour l’authentification. L’infrastructure présente une très faible volatilité (churn quotidien 1–3 %) et une persistance exceptionnelle (rétention d’IP 98,83 %), avec des appareils conservant la même IP pendant des mois.

• Impact et objectif 🎯 Les acteurs semblent bâtir une infrastructure de proxy durable et discrète, reposant sur des appareils stables de réseaux résidentiels, afin de relayer des activités malveillantes tout en minimisant la détection.

• IOCs et TTPs 🧪

  • IOCs:
    • Empreinte SHA‑256 du certificat autosigné: 80cbc316aa58f8be722fd26b3026f077e61c82398599f9f719eade4bcd98173e
    • Plage de ports: TCP/40000–50000
  • TTPs:
    • Utilisation d’un backdoor TLS personnalisé (dérivé de Mbed TLS / PolarSSL)
    • Ports élevés aléatoires pour réduire l’exposition aux scans
    • Exploitation d’appareils edge (Cisco APIC, ASUS RT‑series, Synology NAS)
    • Faible churn et forte persistance des nœuds

Type: analyse de menace visant à documenter l’architecture, la portée et les indicateurs du botnet PolarEdge.

🧠 TTPs et IOCs détectés

TTPs

Utilisation d’un backdoor TLS personnalisé (dérivé de Mbed TLS / PolarSSL), Ports élevés aléatoires pour réduire l’exposition aux scans, Exploitation d’appareils edge (Cisco APIC, ASUS RT-series, Synology NAS), Faible churn et forte persistance des nœuds

IOCs

Empreinte SHA-256 du certificat autosigné: 80cbc316aa58f8be722fd26b3026f077e61c82398599f9f719eade4bcd98173e, Plage de ports: TCP/40000–50000

🔗 Source originale : https://censys.com/blog/2025-state-of-the-internet-digging-into-residential-proxy-infrastructure

🖴 Archive : https://web.archive.org/web/20250815100515/https://censys.com/blog/2025-state-of-the-internet-digging-into-residential-proxy-infrastructure