Selon Xlab (Qianxin), des chercheurs ont mis au jour RPX_Client, un composant inédit de l’infrastructure malware PolarEdge, au cœur d’un réseau ORB (Operational Relay Box) composé d’environ 140 serveurs VPS de contrôle et de plus de 25 000 appareils IoT compromis répartis dans 40 pays, avec une concentration en Asie du Sud-Est et en Amérique du Nord. 🔭
Le système RPX convertit les appareils compromis en nœuds proxy afin d’obfusquer l’origine du trafic et d’échapper à la détection, en s’appuyant sur des certificats de test PolarSSL, des protocoles personnalisés et une architecture proxy multi-sauts pour compliquer toute attribution. 🛰️
Sur le plan technique, RPX_Client v0.0.13 communique avec RPX_Server sur le port 55555 (enregistrement du proxy et relais de trafic via certificats PolarSSL) et sur le port 55560 pour l’exécution de commandes à distance authentifiée par UUID. Le malware chiffre/obfusque sa configuration en XOR (0x25), déguisent ses processus en ‘connect_server’, et établit une persistance via injection rcS. 🧪
Côté serveur, RPX_Server fonctionne comme passerelle proxy à connexion inversée, avec prise en charge des protocoles SOCKS5 et Trojan. L’analyse d’infrastructure met en évidence des empreintes telles que des hashs de certificats fixes et des interfaces de gestion Go-Admin exposées sur le port 55560, avec une concentration d’hôtes sur les ASNs d’Alibaba Cloud et Tencent Cloud. 🔍
IOCs observés:
- Ports réseau: 55555 (RPX enregistrement/relais), 55560 (commande à distance/Go-Admin)
- Nom de processus: ‘connect_server’
- Utilisation de certificats de test PolarSSL avec hashs fixes (non détaillés)
- Interfaces Go-Admin accessibles sur 55560
- Version binaire observée: RPX_Client v0.0.13
- Mécanisme de persistance: injection rcS
- Hébergement/ASNs: Alibaba Cloud, Tencent Cloud
- Obfuscation de configuration: XOR clé 0x25
TTPs:
- Conversion d’appareils IoT compromis en nœuds proxy (résidentiel/relay)
- Multi-sauts et connexion inversée pour l’évasion d’attribution
- Protocoles personnalisés et certificats PolarSSL pour l’enregistrement et le relais de trafic
- Déguisement de processus et persistance au démarrage (rcS)
- Exécution de commandes à distance avec authentification UUID
- Support des protocoles SOCKS5 et Trojan
Type: publication de recherche dont l’objectif principal est de documenter l’infrastructure RPX/PolarEdge et ses artefacts techniques.
🔗 Source originale : https://blog.xlab.qianxin.com/smoking-gun-uncovered-rpx-relay-at-polaredges-core-exposed/