Uma nova campanha cibernética está utilizando vulnerabilidades conhecidas em roteadores corporativos e domésticos para expandir a botnet PolarEdge, uma rede sofisticada de dispositivos comprometidos que vem crescendo silenciosamente em diversos países. O malware tem como alvo equipamentos das marcas Cisco, ASUS, QNAP e Synology, explorando brechas de segurança não corrigidas para assumir o controle dos dispositivos.
Pesquisadores de segurança descobriram que a PolarEdge é distribuída por meio de exploração automatizada de falhas antigas, incluindo a vulnerabilidade CVE-2023-20118, registrada em roteadores Cisco. Ao ser explorada, a falha permite que um invasor envie comandos remotos e instale scripts que baixam o backdoor PolarEdge, capaz de executar instruções arbitrárias e monitorar conexões em tempo real. O malware, desenvolvido no formato ELF e protegido por TLS, se disfarça de processos legítimos do sistema, como httpd e dhcpd, dificultando a detecção por antivírus e sistemas de monitoramento. Ele também inclui mecanismos de autorreinicialização e ocultação de dados binários, o que garante persistência e resistência à análise forense. Uma vez instalado, o PolarEdge cria um servidor TLS embutido que permite comunicação direta com os operadores da botnet. Isso possibilita que os invasores executem comandos de forma segura, enviem atualizações maliciosas e até transformem os dispositivos comprometidos em proxies para outros ataques cibernéticos, mascarando sua origem.
Os pesquisadores acreditam que o grupo responsável pela PolarEdge está expandindo sua infraestrutura para preparar ataques em larga escala, como negação de serviço distribuída (DDoS) ou campanhas de espionagem digital, aproveitando a alta disponibilidade e a potência de roteadores corporativos. A campanha tem se mostrado eficaz principalmente porque muitos dos dispositivos afetados ainda utilizam firmwares desatualizados, especialmente em ambientes domésticos e pequenos provedores de internet. Roteadores que não foram atualizados desde 2023 continuam vulneráveis, mesmo após a divulgação pública dos patches de correção.
