摘要：Censys 的研究人员发现，PolarEdge 正在全球迅速扩张，这令人担忧地表明，互联技术正日益被武器化。PolarEdge 是一个高级僵尸网络，它策划针对全球物联网 (IoT) 和边缘设备的大规模攻击，这种威胁近年来愈发普遍。

Censys 的研究人员发现，PolarEdge 正在全球迅速扩张，这令人担忧地表明，互联技术正日益被武器化。PolarEdge 是一个高级僵尸网络，它策划针对全球物联网 (IoT) 和边缘设备的大规模攻击，这种威胁近年来愈发普遍。

该恶意网络于2023年中期首次被发现时，仅确认了约150例感染。此后，该网络迅速发展成为广泛的数字威胁，截至2025年8月，已在全球范围内感染了近4万台设备。分析人士指出，PolarEdge的架构与操作中继盒（ORB）基础设施非常相似，而ORB是一种隐蔽系统，常用于间谍活动、欺诈和网络犯罪。

PolarEdge 近年来发展迅猛，这凸显了安全防护薄弱的物联网环境正日益遭受攻击，成为近年来蔓延速度最快、危害最大的僵尸网络攻击目标之一。PolarEdge 也帮助我们了解了当今高度互联世界中网络威胁的快速演变。

PolarEdge 是一场精心策划的网络攻击活动，它展示了如何利用被入侵的物联网 (IoT) 生态系统作为强大的网络战武器。该活动组织严密，运作精准。超过 25,000 台受感染的设备遍布 40 个国家，构成了一个庞大的僵尸网络。该僵尸网络由 140 台指挥控制服务器组成，规模庞大且结构复杂。

与其他许多分布式拒绝服务 (DDoS) 攻击不同，PolarEdge 不仅是分发拒绝服务攻击的工具，还是一个专门用于支持高级持续性威胁 (APT) 的犯罪基础设施即服务 (IaaS) 平台。该软件通过系统性地利用物联网设备和边缘设备的漏洞，构建了一个操作中继盒 (ORB) 网络，从而创建了一个混淆恶意流量的层，使间谍活动、数据窃取和勒索软件攻击等隐蔽行动成为可能。

通过采用这种模式，网络犯罪经济格局发生了重塑，使得即使是技能水平一般的攻击者也能获得曾经只有精英威胁组织才能掌握的能力。随着对 PolarEdge 不断演进的基础设施的深入调查，人们发现了一个名为 RPX_Client 的此前未知的组件，它是将易受攻击的物联网设备转化为代理节点的僵尸网络的重要组成部分。

2025年5月，XLab的网络威胁洞察与分析系统检测到来自IP地址111.119.223.196的可疑活动，该IP地址正在分发一个名为“w”的ELF文件。该文件最初在VirusTotal上未被检测到。经查明，该文件的DNS IP地址为111.119.223.196。随后，XLab对此次攻击进行了更深入的取证分析，揭示了RPX_Client机制及其在构建运营中继盒网络中的关键作用。

这些网络旨在将恶意活动隐藏在多层受感染的系统之后，使其看起来一切正常。研究人员对设备日志的分析显示，感染已蔓延至全球，其中韩国的感染率最高（41.97%），其次是中国（20.35%）和泰国（8.37%），东南亚和北美也出现了规模较小的感染集群。

KT CCTV监控摄像头、深圳TVT数字录像机和华硕路由器被确定为最常被感染的设备，其他受感染的设备还包括Cyberoam UTM设备、思科RV340 VPN路由器、D-Link路由器和宇视网络摄像头。

本次活动共运行 140 个 RPX_Server 节点，这些节点均运行在三个自治系统编号（45102、37963 和 132203）下，主要托管在AL云和TX云的虚拟专用服务器上。每个节点都通过 55555 端口与 PolarSSL 测试证书通信，该证书源自 Mbed TLS 协议 3.4.0 版本。这使得 XLab 能够对通信流程进行逆向工程，从而确定活动服务器的有效性和范围。

就 RPX_Client 的技术层面而言，它会同时建立两个连接。一个连接通过 55555 端口连接到 RPX_Server，用于节点注册和流量路由；另一个连接通过 55560 端口连接到 Go-Admin，用于执行远程命令。由于其隐蔽性，该恶意软件伪装成名为“connect_server”的进程，通过 PID 文件（位于 /tmp/.msc）强制执行单实例规则，并通过将自身注入 rcS 初始化脚本来维持自身存活。

鉴于这些努力，研究人员发现 PolarEdge 基础设施与 RPX 基础设施高度关联，这体现在重叠的代码模式、域名关联和服务器日志中。

值得注意的是，IP 地址 82.118.22.155 在 20 世纪 90 年代早期与 PolarEdge 分发链相关联，而该地址又与名为 jurgencindy.asuscomm.com 的主机相关联，该主机也与 icecreand.cc 和 centrequ.cc 等 PolarEdge C2 服务器相关联。

捕获的服务器记录证实了RPX_Client有效载荷已成功送达，并且诸如change_pub_ip之类的命令已被执行，此外，记录还验证了该服务器在监控僵尸网络分发框架中的作用，这进一步证实了上述说法。其多跳代理架构——利用被入侵的物联网设备作为第一层，低成本的虚拟专用服务器作为第二层——构建了一个密集的混淆网络，有效地掩盖了攻击的来源。

这进一步证实了Mandiant的评估，即基于云的基础设施对传统的基于指标的检测技术构成了严峻挑战。多位专家强调，为了缓解PolarEdge等僵尸网络日益增长的威胁，需要制定全面且分层的网络安全策略，其中包括主动防御措施和快速事件响应方法。随着联网设备的激增，组织和个人都需要意识到日益普遍的威胁形势。

因此，物联网和边缘安全必须成为运营重点，而非事后考虑。确保所有设备运行最新固件是至关重要的一步，因为制造商会频繁发布补丁来修复已知漏洞。此外，同样重要的是立即将默认凭据更改为强密码和唯一密码。这是防御大规模攻击的关键组成部分，但往往被忽视。

安全专家建议实施网络分段，将物联网设备隔离在特定的VLAN或受限网络区域内，以最大限度地减少网络内的横向移动。作为一项额外的预防措施，建议组织禁用非必要的端口和服务，从而减少攻击者可利用的入口点。

对网络进行持续监控，尤其重视入侵检测与防御（IDS/IPS）系统，对于检测可能预示着网络入侵的可疑流量模式至关重要。安装一套完善的补丁管理程序必不可少，以确保所有联网资产都能及时、统一地更新安全补丁。

企业在供应链方面也应进行尽职调查：应选择那些已展现出对透明度、及时安全更新和负责任地披露漏洞的承诺的供应商。就物联网防御的技术层面而言，已有多种工具被证明能够有效检测和应对基于物联网的威胁。

例如，Nessus 提供全面的漏洞扫描服务，而 Shodan 则为分析人员提供了一种识别暴露或配置错误的联网设备的方法。

用于深度网络分析的工具包括 Wireshark（大多数组织都在使用的协议检测工具）、Snort 或 Suricata（功能强大的入侵检测/防御系统，可以实时检测恶意流量）。此外，IoT Inspector 还提供全面的设备安全和隐私评估，让我们能够更清楚地了解联网硬件的运行情况和行为模式。

通过结合这些工具和实践，可以构建一个关键的防御框架——该框架能够缩小攻击面，遏制诸如 PolarEdge 等复杂僵尸网络的传播，从而减少攻击次数。一项针对 PolarEdge 感染范围的全面地理空间研究表明，其主要传播区域为东亚和北美，其中韩国的受感染设备数量占总数的 41.97%。

中国感染总数占20.35%，泰国占8.37%。此次攻击活动的主要受害者包括KT监控系统、深圳TVT数字录像机（DVR）、Cyberoam统一威胁管理（UTM）设备，以及华硕、DrayTek、思科和D-Link等主要厂商生产的各种路由器。

虚拟专用服务器（VPS）主要用于控制僵尸网络的指挥控制生态系统，该系统集群位于自治系统45102、37963和132203中。

该僵尸网络的绝大部分运行都托管在AL云和TX云的基础设施上——这反映出该僵尸网络对商业化的、可扩展的云环境有着极高的依赖性，以维持其庞大的运行。PolarEdge 的技术复杂性源于其精心设计的多跳代理框架 RPX，该框架旨在隐藏攻击来源，使公司更难追究责任。

在分层通信链中，流量从本地代理路由到 RPX_Server 节点，再到受感染物联网设备上的 RPX_Client 实例，从而掩盖了真正的命令来源，同时允许在全球网络中进行流畅、隐蔽的通信。该恶意软件的策略是通过将自身注入初始化脚本来维持持久性。具体来说，命令 `echo "/bin/sh /mnt/mtd/rpx.sh &" >> /etc/init.d/rcS` 确保它在系统启动时自动执行。

该客户端激活后，会伪装成名为“connect_server”的进程，并使用位于 /tmp/.msc 的 PID 文件强制执行单实例运行。该客户端能够通过访问名为“.fccq”的全局配置文件进行自我配置，该文件会提取诸如命令与控制 (C2) 地址、通信端口、设备 UUID 和品牌标识符等参数。

因此，这些值已使用单字节异或加密 (0x25) 进行混淆，这是一种有效且简单的方法来防止对这些值进行静态分析。该恶意软件使用两个网络端口来建立两个网络通道——端口 55555 用于节点注册和流量代理，端口 55560 用于通过 Go-Admin 服务执行远程命令。

命令管理是通过使用“魔法字段”标识符（0x11、0x12 和 0x16）来实现的，这些标识符定义了特定的操作功能，以及使用内置命令（如 update_vps，用于轮换 C2 地址）更新恶意软件组件的能力，这些组件能够感知自身。

服务器端日志显示，攻击者执行了基础设施迁移命令，这表明他们能够动态切换代理池，从而在每次节点被攻破或暴露时逃避检测。日志还显示，这证明了攻击者具备规避检测的能力。网络遥测数据表明，PolarEdge 主要关注针对 QQ、微信、谷歌和 Cloudflare 等合法平台的非定向攻击活动。

这表明其基础设施可能既可用于掩盖恶意活动，也可伪装成普通的互联网通信。鉴于 PolarEdge 攻击活动凸显了当今互联数字生态系统的脆弱性，这再次警示我们，网络安全必须与时俱进，应对日益复杂的威胁，而不仅仅是被动反应。

Censys研究报告：《PolarEdge 邻近基础设施概览》

奇安信实验室：《锁定ORB网络PolarEdge的关键拼图: RPX中继系统浮出水面》

来源：会杀毒的单反狗