Các nhà nghiên cứu an ninh mạng tại XLab đã phát hiện một chiến dịch botnet cơ sở hạ tầng dưới dạng dịch vụ (IaaS) phức tạp mang tên PolarEdge botnet. Hoạt động này đã xâm nhập hơn 25.000 thiết bị Internet of Things (IoT) và thiết lập 140 máy chủ command-and-control (C2) thông qua việc khai thác có hệ thống các thiết bị biên dễ bị tổn thương, đặt ra một mối đe dọa mạng đáng kể.

Hệ thống chuyển tiếp RPX vừa được tiết lộ cho thấy cách thức các tác nhân đe dọa xây dựng mạng lưới hộp chuyển tiếp hoạt động (Operational Relay Box – ORB). Mạng lưới này giúp che giấu hiệu quả các nguồn tấn công và làm suy yếu các phương pháp phát hiện truyền thống.

Tổng quan về Chiến dịch PolarEdge và Hệ thống RPX

Phát hiện ban đầu và Thành phần RPX_Client

Vào ngày 30 tháng 5 năm 2025, Hệ thống Phân tích và Thông tin Đe dọa Mạng của XLab đã phát hiện địa chỉ IP 111.119.223.196 phân phối một tệp ELF. Ban đầu, tệp này không có bất kỳ phát hiện nào trên VirusTotal, thúc đẩy một cuộc điều tra toàn diện.

Thông qua phân tích tương quan mục tiêu, các nhà nghiên cứu đã khám phá ra RPX_Client. Đây là một thành phần chưa từng được ghi nhận trước đây, chịu trách nhiệm tích hợp các thiết bị bị xâm nhập vào các nhóm proxy, cung cấp dịch vụ proxy và cho phép thực thi lệnh từ xa.

Cuộc điều tra đã tiết lộ rằng PolarEdge botnet, lần đầu tiên được Sekoia công bố vào tháng 2 năm 2025, khai thác các thiết bị IoT và thiết bị biên dễ bị tổn thương. Đồng thời, nó sử dụng các máy chủ riêng ảo (VPS) đã mua để xây dựng một mạng lưới Operational Relay Box.

Kiến trúc và Quy mô Lây nhiễm của Lỗ hổng CVE và PolarEdge Botnet

Kiến trúc Che giấu và Mục tiêu

Kiến trúc này hoạt động tương tự như các proxy dân cư (residential proxies) nhưng tập trung vào khả năng tàng hình dài hạn và che giấu lưu lượng truy cập. Điều này khiến nó đặc biệt hấp dẫn đối với các tác nhân đe dọa dai dẳng nâng cao (Advanced Persistent Threat – APT).

Công ty bảo mật Mandiant đã mô tả thách thức này bằng cụm từ “As the ORBs rise, the IOC goes extinct”. Điều này nhấn mạnh cách các mạng lưới này khiến các chỉ số thỏa hiệp (Indicators of Compromise – IOC) truyền thống trở nên không hiệu quả.

Thống kê Quy mô Lây nhiễm và Phân bố Địa lý

Phân tích bộ dữ liệu RPX_Client cho thấy, kể từ tháng 7 năm 2024, PolarEdge botnet đã lây nhiễm tích lũy hơn 25.000 địa chỉ IP trên 40 quốc gia và khu vực. Tỷ lệ lây nhiễm cho thấy xu hướng tăng trưởng bền vững.

Các thiết bị bị xâm nhập chủ yếu tập trung ở Đông Nam Á và Bắc Mỹ. Trong đó, Hàn Quốc chiếm 41,97% số ca lây nhiễm, tiếp theo là Trung Quốc với 20,35%, Thái Lan với 8,37% và Malaysia với 5,98%.

10 quốc gia có tỷ lệ lây nhiễm hàng đầu bao gồm:

• Hàn Quốc: 41,97%
• Trung Quốc: 20,35%
• Thái Lan: 8,37%
• Malaysia: 5,98%
• Ấn Độ: 3,79%
• Israel: 3,73%
• Mỹ: 3,69%
• Việt Nam: 2,56%
• Indonesia: 2,12%
• Nga: 1,19%

Thiết bị Mục tiêu bị Compromise và Khai thác Lỗ hổng

Các mục tiêu chính bao gồm hệ thống camera giám sát (CCTV) của KT và đầu ghi hình kỹ thuật số (DVR) Shenzhen TVT. Hai loại thiết bị này cùng chiếm hơn 90% số thiết bị bị lây nhiễm.

Các thiết bị bị xâm nhập bổ sung bao gồm router Asus, router DrayTek, router VPN Cisco RV340, router D-Link, thiết bị quản lý mối đe dọa hợp nhất (UTM) Cyberoam và webcam Uniview.

Các tác nhân đã khai thác lỗ hổng CVE-2023-20118 để phát tán các script độc hại bắt đầu từ tháng 4 năm 2025. Chúng thiết lập tính bền vững thông qua các script khởi tạo đã sửa đổi.

Cấu trúc Hạ tầng và Cơ chế Hoạt động của Hệ thống RPX

Kiến trúc Client-Server và Phương thức Che giấu Tấn công

Hệ thống RPX hoạt động thông qua kiến trúc client-server, trong đó RPX_Server đóng vai trò là cổng proxy kết nối ngược (reverse-connection proxy gateway). Máy chủ này không kết nối trực tiếp đến các mục tiêu.

Thay vào đó, nó lên lịch trình cho các nút proxy đã đăng ký để kết nối đến mục tiêu. Sau đó, các nút này thiết lập kết nối ngược đến các cổng tạm thời được cấp phát động trên gateway. Thiết kế đa bước (multi-hop) này che giấu hiệu quả các nguồn tấn công mạng thông qua cầu nối lưu lượng trong suốt.

Hạ tầng Máy chủ Điều khiển và Dịch vụ Cốt lõi

Hạ tầng máy chủ bao gồm 140 nút VPS, tập trung trong các số hệ thống tự trị (ASN) 45102, 37963 và 132203. Các máy chủ này chủ yếu được lưu trữ trên Alibaba Cloud và Tencent Cloud.

Những máy chủ này chạy bốn dịch vụ cốt lõi:

• RPX_Server: Dành cho các hoạt động proxy.
• Go-Admin: Dùng để quản lý nút và xác thực phiên.
• Nginx: Hoạt động ở chế độ reverse proxy.
• Go-Shadowsocks: Cung cấp các dịch vụ proxy.

Mỗi dịch vụ tạo ra các dấu vân tay mạng riêng biệt, bao gồm các chứng chỉ tự ký (self-signed certificates) cố định. Các nhà nghiên cứu đã sử dụng những chứng chỉ này để xác định hạ tầng đang hoạt động của PolarEdge botnet.

Chi tiết Thành phần RPX_Client

Thành phần RPX_Client, hiện đang ở phiên bản 0.0.13, ngụy trang tên tiến trình của nó thành “connect_server”. Nó duy trì dữ liệu cấu hình trong các tệp được mã hóa bằng mã hóa XOR một byte.

Sau khi xâm nhập thiết bị, RPX_Client thiết lập hai kết nối mạng độc lập đến máy chủ điều khiển:

• Một kết nối trên cổng 55555: Dành cho việc đăng ký nút và ủy quyền lưu lượng truy cập.
• Một kết nối khác trên cổng 55560: Dành cho việc thực thi lệnh từ xa.

Phần mềm độc hại này bao gồm các lệnh tích hợp để thay đổi địa chỉ máy chủ điều khiển và thực hiện tự nâng cấp. Điều này cho phép các nhà điều hành đạt được quyền kiểm soát chi tiết và nhanh chóng di chuyển các nhóm proxy khi hạ tầng bị lộ.

Các Chỉ số Thỏa hiệp (IOCs) và Phân tích Chuyên sâu

Nhận diện và Liên kết Hạ tầng PolarEdge

Các nhà nghiên cứu của XLab đã thiết lập sự quy kết đáng tin cậy cao cho PolarEdge botnet thông qua nhiều luồng bằng chứng. Bao gồm sự tương đồng về phong cách mã hóa với các mẫu PolarEdge đã biết, tính bổ sung chức năng giữa các thành phần RPX_Client và RPX_Server, và các bản ghi cơ sở dữ liệu tài liệu về các hoạt động phân phối.

Địa chỉ IP 82.118.22.155, đã phát tán các script độc hại vào tháng 12 năm 2023, được liên kết rõ ràng với hạ tầng PolarEdge thông qua các bản ghi hệ thống tên miền (DNS) kết nối với các máy chủ C2 do Sekoia tiết lộ.

API và Hoạt động Khai thác Proxy Pool

Cuộc điều tra cũng tiết lộ một API xuất các nút nhóm proxy thành các tệp cấu hình Clash. Điều này cho phép các tác nhân khai thác hạ tầng bị xâm nhập cho các chiến dịch cụ thể.

Hệ thống theo dõi lệnh đã chứng minh rằng, mặc dù hầu hết lưu lượng truy cập xuất hiện không mục tiêu và chảy đến các dịch vụ chính như QQ, WeChat, Google và Cloudflare, hạ tầng này vẫn cung cấp cho các tác nhân một lớp vỏ hoạt động hiệu quả.

Nhật ký máy chủ đã xác nhận rằng IP phân phối 111.119.223.196 hoạt động cả như một máy chủ tải xuống và nút điều khiển reverse shell.

Indicators of Compromise (IOCs)

Các chỉ số thỏa hiệp liên quan đến chiến dịch PolarEdge botnet bao gồm các địa chỉ IP sau:

• 111.119.223.196 (IP phân phối mã độc và máy chủ C2)
• 82.118.22.155 (IP liên quan đến phát tán script độc hại)

Các nhà nghiên cứu thừa nhận rằng không có nhà cung cấp bảo mật đơn lẻ nào có được tầm nhìn đầy đủ về hệ sinh thái đe dọa này. Điều này nhấn mạnh rằng phân tích kỹ lưỡng đòi hỏi sự hợp tác rộng rãi trong ngành.

Những nỗ lực nghiên cứu kết hợp của Sekoia, Censys và XLab đã thiết lập một nền tảng để hiểu mạng lưới hộp chuyển tiếp hoạt động của PolarEdge. Mặc dù vậy, các kết nối cụ thể giữa các mẫu backdoor PolarEdge và hệ thống RPX vẫn là những lĩnh vực cần điều tra thêm.