文章总结： 攻击者利用思科华硕威联通群晖路由器漏洞部署PolarEdge后门程序组建僵尸网络窃取数据后门通过环境清理进程隐匿守护机制和TLS加密通信实现持久化控制建议立即排查设备更新固件禁用高危服务并定期备份数据防范风险 综合评分： 85 文章分类： 威胁情报,漏洞分析,漏洞预警,网络安全,应急响应

关于防范PolarEdge僵尸网络的风险提示

CSTIS

网络安全威胁和漏洞信息共享平台

2025年12月16日 16:29 北京

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者利用思科、华硕、威联通和群晖等公司路由器相关产品的安全漏洞部署PolarEdge后门程序，劫持控制设备，窃取敏感数据，组建僵尸网络。

    攻击者通过思科、华硕、威联通和群晖等公司路由器相关设备的安全漏洞（如思科路由器的命令执行漏洞）入侵目标设备，强制受害设备从远程FTP服务器下载Shell脚本。该脚本运行后会立即下载并启动PolarEdge后门程序。一旦植入成功后，PolarEdge会首先执行环境清理，删除wget，重命名curl，以阻断竞争攻击。随即，PolarEdge启动进程隐匿，伪装成igmpproxy等合法的系统进程，并通过mount–bind绑定至保留PID路径（如/proc/1）隐藏进程元数据。同时，PolarEdge通过创建watchdog子进程实现进程守护，每30秒检查父进程状态并在异常时自动重启。在完成后门部署后，PolarEdge将启动隐蔽通信，采用自签名PolarSSL证书及魔术令牌构建TLS加密信道，综合使用PRESENT分组密码动态解密关键代码段，仿射密码（AffineCipher）混淆敏感字符串数据。随后，PolarEdge将通过回连模式投递恶意载荷至/tmp/.qnax.sh执行，实现远程动态控制。

    建议相关单位及用户立即组织排查，核验固件数字签名，阻断恶意植入；及时更新设备安全版本、替换停产停服设备。或通过禁用高危服务组件，关闭非必要互联网暴露服务（如UPnP、PhotoStation、远程管理端口），定期离线备份敏感数据等方式防范攻击风险。

PolarEdge后门样本的IOC信息

SHA256：a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082

SHA1：ff1b0a492dd42fc01e1b894b577040927890bc3b

MD5：191be2f2f31efe4a64da5543ed9d0e25

查看原文：《关于防范PolarEdge僵尸网络的风险提示》