文章总结： 工信部监测发现攻击者利用路由器漏洞部署PolarEdge后门组建僵尸网络。该后门具备环境清理、进程伪装与守护能力，采用TLS加密及PRESENT分组密码混淆通信。建议立即排查设备、更新固件、关闭非必要服务并备份数据以防范风险。 综合评分： 90 文章分类： 漏洞预警,恶意软件,IoT安全,应急响应

荐读丨关于防范PolarEdge僵尸网络的风险提示

工业安全产业联盟平台

2025年12月22日 17:40 北京

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者利用思科、华硕、威联通和群晖等公司路由器相关产品的安全漏洞部署PolarEdge后门程序，劫持控制设备，窃取敏感数据，组建僵尸网络。

攻击者通过思科、华硕、威联通和群晖等公司路由器相关设备的安全漏洞（如思科路由器的命令执行漏洞）入侵目标设备，强制受害设备从远程FTP服务器下载Shell脚本。该脚本运行后会立即下载并启动PolarEdge后门程序。一旦植入成功后，PolarEdge会首先执行环境清理，删除wget，重命名curl，以阻断竞争攻击。随即，PolarEdge启动进程隐匿，伪装成igmpproxy等合法的系统进程，并通过mount–bind绑定至保留PID路径（如/proc/1）隐藏进程元数据。同时，PolarEdge通过创建watchdog子进程实现进程守护，每30秒检查父进程状态并在异常时自动重启。在完成后门部署后，PolarEdge将启动隐蔽通信，采用自签名PolarSSL证书及魔术令牌构建TLS加密信道，综合使用PRESENT分组密码动态解密关键代码段，仿射密码（AffineCipher）混淆敏感字符串数据。随后，PolarEdge将通过回连模式投递恶意载荷至/tmp/.qnax.sh执行，实现远程动态控制。

建议相关单位及用户立即组织排查，核验固件数字签名，阻断恶意植入；及时更新设备安全版本、替换停产停服设备。或通过禁用高危服务组件，关闭非必要互联网暴露服务（如UPnP、PhotoStation、远程管理端口），定期离线备份敏感数据等方式防范攻击风险。

PolarEdge后门样本的IOC信息

SHA256：a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082

SHA1：ff1b0a492dd42fc01e1b894b577040927890bc3b

MD5：191be2f2f31efe4a64da5543ed9d0e25

· end ·

来源 | 网络安全威胁和漏洞信息共享平台

责任编辑 | 赫敏

声明：本文由工业安全产业联盟平台微信公众号（微信号：ICSISIA）转发，如有版权问题，请联系删除。

如需合作或咨询，请联系工业安全产业联盟平台小秘书微信号：ICSISIA20140417

往期荐读

重磅 |《自动化博览》2025年第一期暨《工业控制系统信息安全专刊（第十一辑）》上线

征求意见稿丨网络安全技术 工业控制系统网络安全防护能力成熟度模型（附下载）

工信部丨关于防范针对DeepSeek本地化部署实施网络攻击的风险提示

干货丨长输油气管网工控安全防护：策略、实践与展望

DeepSeek分析丨零信任安全架构在工业领域的发展现状与未来展望

数字化安全丨工信部印发《高标准数字园区建设指南》（附全文+图解）

AI安全丨人工智能安全治理框架2.0版（附下载）

干货丨工业可编程控制系统加密技术研究

荐读 |安全人视角的DeepSeek洞察与思考

可信数据丨中国城市可信数据空间行业研究报告（附全文）

关注丨网络关键设备安全检测结果（第19批）

数据安全｜国家标准支撑《网络数据安全管理条例》生效施行（v1.0）

工信部、国家标准委联合印发丨云计算综合标准化体系建设指南（2025版）

国家标准丨数据安全国家标准体系（2025版），附下载

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：工业安全产业联盟平台 《荐读丨关于防范PolarEdge僵尸网络的风险提示》