文章总结： 工业和信息化部网络安全威胁和漏洞信息共享平台监测发现攻击者正利用思科、华硕等路由器漏洞部署PolarEdge后门程序，通过下载恶意脚本植入设备，进行环境清理、进程隐匿和加密通信，最终组建僵尸网络。该后门会伪装成合法系统进程，创建守护进程，并采用自签名证书和多种加密技术隐蔽通信。建议用户立即排查设备、更新固件、禁用高危服务组件、关闭非必要互联网暴露服务，并定期离线备份敏感数据。 综合评分： 87 文章分类： 漏洞预警,威胁情报,网络安全,漏洞分析,应急响应

预警丨防范PolarEdge僵尸网络

网络安全和信息化

2025年12月16日 17:44 北京

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者利用思科、华硕、威联通和群晖等公司路由器相关产品的安全漏洞部署PolarEdge后门程序，劫持控制设备，窃取敏感数据，组建僵尸网络。

    攻击者通过思科、华硕、威联通和群晖等公司路由器相关设备的安全漏洞（如思科路由器的命令执行漏洞）入侵目标设备，强制受害设备从远程FTP服务器下载Shell脚本。该脚本运行后会立即下载并启动PolarEdge后门程序。一旦植入成功后，PolarEdge会首先执行环境清理，删除wget，重命名curl，以阻断竞争攻击。随即，PolarEdge启动进程隐匿，伪装成igmpproxy等合法的系统进程，并通过mount–bind绑定至保留PID路径（如/proc/1）隐藏进程元数据。同时，PolarEdge通过创建watchdog子进程实现进程守护，每30秒检查父进程状态并在异常时自动重启。在完成后门部署后，PolarEdge将启动隐蔽通信，采用自签名PolarSSL证书及魔术令牌构建TLS加密信道，综合使用PRESENT分组密码动态解密关键代码段，仿射密码（AffineCipher）混淆敏感字符串数据。随后，PolarEdge将通过回连模式投递恶意载荷至/tmp/.qnax.sh执行，实现远程动态控制。

    建议相关单位及用户立即组织排查，核验固件数字签名，阻断恶意植入；及时更新设备安全版本、替换停产停服设备。或通过禁用高危服务组件，关闭非必要互联网暴露服务（如UPnP、PhotoStation、远程管理端口），定期离线备份敏感数据等方式防范攻击风险。

PolarEdge后门样本的IOC信息

SHA256：a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082

SHA1：ff1b0a492dd42fc01e1b894b577040927890bc3b

MD5：191be2f2f31efe4a64da5543ed9d0e25

来源：工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）

-END-

2026年杂志订阅开始啦~

查看原文：《预警丨防范PolarEdge僵尸网络》