Cybersecurity-Forscher entdecken IoT-Botnet mit 40.000 infizierten Geräten
Die PolarEdge-Malware nutzt seit zwei Jahren Router und Netzwerkgeräte als Proxy-Infrastruktur für verdeckte Operationen. Südkorea und USA sind am stärksten betroffen.
Sicherheitsforscher von Censys haben die Ausbreitung eines großangelegten Internet-of-Things-(IoT)-Botnets namens PolarEdge dokumentiert, das seit Juni 2023 kontinuierlich wächst und mittlerweile fast 40 000 Geräte weltweit kompromittiert hat. Laut dem aktuellen „2025 State of the Internet“-Bericht handelt es sich bei PolarEdge um ein mutmaßliches Operational-Relay-Box-(ORB)-Netzwerk, das Router, Firewalls und andere Netzwerkgeräte als Proxy-Infrastruktur missbraucht.
Das Botnet wurde erstmals im Februar 2025 von Sekoia-Forschern identifiziert und nutzt eine maßgeschneiderte TLS-Backdoor, die auf Mbed TLS (früher PolarSSL) basiert. Die Schadsoftware installiert sich mit einem selbstsignierten Zertifikat, das die Signatur „PolarSSL Test CA“ trägt und als zentraler Indikator für kompromittierte Systeme dient.
Rasantes Wachstum über zwei Jahre hinweg
Die Censys-Analyse zeigt eine bemerkenswerte Entwicklung: Von ursprünglich 155 infizierten Hosts am 6. Juni 2023 stieg die Zahl innerhalb weniger Wochen auf 550 Geräte. Bis August 2025 erreichte das Botnet seinen aktuellen Umfang von knapp 40 000 aktiven Systemen. Besonders auffällig war ein sprunghafter Anstieg um 10 000 neue Kompromittierungen im zweiten Quartal 2024, gefolgt von einem Rückgang um 17 000 Geräte im späten August.
„Diese Muster könnten durch ein neues Massen-Kompromittierungs-Ereignis erklärt werden“, schreiben die Censys-Forscher in ihrem Bericht. Seit Juni 2025 habe sich die Infektionsrate bei knapp 40 000 Geräten stabilisiert.
Besonders beunruhigend sei die außergewöhnliche Persistenz des Botnets: Die durchschnittliche Retention-Rate liege bei 98,83 Prozent, was bedeute, dass fast alle infizierten Geräte über Tage hinweg aktiv bleiben. Die tägliche Churn-Rate (Abwanderungsrate) bewegt sich lediglich zwischen ein und drei Prozent, was laut den Sicherheitsexperten hauptsächlich auf normale DHCP-Dynamiken zurückzuführen ist und nicht auf erfolgreiche Bereinigungsmaßnahmen.
Südkorea und USA im Fokus der Angreifer
Die geografische Verteilung der Infektionen zeigt klare Schwerpunkte. Über die Hälfte aller kompromittierten Systeme (51,6 Prozent) befinden sich in Südkorea, weitere 21,1 Prozent in den USA. Die restlichen Infektionen verteilen sich dünn über Asien und Europa, angeführt von Hongkong, Schweden und Kanada.
In Südkorea dominiert Korea Telecom mit über 18 000 kompromittierten Hosts, gefolgt von LG Powercomm und LG DACOM. In den USA zeigt Comcast die größte Einzelkonzentration, gefolgt von Charter und Cox. Auffällig ist auch die Präsenz in kleineren regionalen Anbietern wie der West Kentucky Rural Telephone Cooperative und Hargray Communications.
Die Forscher identifizierten insgesamt 1170 Netzwerke mit nur einem einzigen infizierten Host, davon 250 in den USA. Viele dieser Einzelinfektionen betreffen kleine, ländliche Telekommunikationsgenossenschaften oder kommunale Breitbandanbieter, die oft über weniger spezialisierte Sicherheitsteams verfügen.
Enterprise-Hardware und Consumer-Geräte gleichermaßen betroffen
PolarEdge zielt auf eine breite Palette von Netzwerkgeräten ab. Die größte Einzelgruppe bilden Cisco Application Policy Infrastructure Controller (APIC) mit 2.502 kompromittierten Hosts. Diese Netzwerkcontroller werden in Unternehmens- und Rechenzentrumsumgebungen eingesetzt und bieten Angreifern persistente Zugangspunkte tief in kritischen Infrastrukturnetzwerken.
Die zweithäufigste Gerätekategorie umfasst 1133 ASUS RT-Router, die in Heim- und kleinen Büroumgebungen weitverbreitet sind. Synology-NAS-Geräte (692 beobachtete Fälle), Cisco Adaptive Security Appliances (534) und RV-Router (470) erweitern den Fußabdruck in Unternehmens- und kleinen Geschäftsnetzwerken.
Das Botnet kompromittiert auch eine beträchtliche Anzahl von IP-Kameras: 137 von Dahua, 55 von Avtech und 37 von D-Link. Die Schadsoftware nutzt bevorzugt hohe, nicht-standardisierte Ports zwischen 40 000 und 50 000, um Standard-Netzwerkscans und defensive Überwachungsmaßnahmen zu umgehen.
Geringe Aktivität deutet auf gezielte Operationen hin
Trotz der enormen Größe des Botnets zeigen die infizierten Systeme überraschend wenig Aktivität in öffentlich beobachtbaren Angriffen. Laut GreyNoise-Daten interagierten nur 3,3 Prozent der jemals beobachteten PolarEdge-IPs mit Honeypots. Von diesen wurden 60 Prozent als bösartig eingestuft.
Die häufigste Aktivität war mit dem User-Agent „Hello-World/1.0“ verbunden, der zuvor bei einem Taiwan-basierten Scraper-Botnet beobachtet wurde. „Die relativ niedrige Erkennungsrate könnte darauf hindeuten, dass PolarEdge nicht wahllos Massen-Scans durchführt, sondern versucht, spezifische Geräte in bestimmten Regionen oder Netzwerken anzugreifen“, schlussfolgern die Experten.
Verbindungen zu anderen Malware-Kampagnen
Die Censys-Analyse zeigt Parallelen zu anderen bekannten ORB-Kampagnen, besonders zu LapDogs, einem von SecurityScorecard dokumentierten Netzwerk, das hauptsächlich Linux-basierte SOHO-Geräte angreift. Beide unterhalten große Infektionscluster in Südostasien und den USA und verwenden benutzerdefinierte Protokolle auf hohen, nicht-standardisierten Ports.
Allerdings weicht PolarEdge von typischen ORB-Praktiken ab: Während Mandiant berichtet, dass die meisten ORBs ihre Infrastruktur alle 31 Tage erneuern, behalten PolarEdge-Infektionen dieselben IP-Adressen über Monate hinweg, teilweise über sieben Monate und länger.
Herausforderungen für die Erkennung und Abwehr
Die Persistenz und Tarnung von PolarEdge stellen Netzwerkbetreiber vor erhebliche Herausforderungen. Da die kompromittierten Edge-Geräte weiterhin normal funktionieren, während sie heimlich Datenverkehr weiterleiten, haben ihre Besitzer wenig Grund, etwas Verdächtiges zu vermuten.
„Für die meisten Heimanwender sind Router und Netzwerkgeräte ‚einrichten und vergessen‘-Infrastruktur, die jahrelang ohne Updates oder Überwachung laufen kann“, erklären die Censys-Forscher. Die Erkennung solcher Netzwerke sei ohne proaktive Suche und Wissen über die spezifischen Indikatoren schwierig.
Zur Identifizierung von PolarEdge-Infektionen stellt Censys spezifische Suchabfragen zur Verfügung, die auf dem charakteristischen PolarSSL-Zertifikat basieren. Netzwerkbetreiber können diese Indikatoren nutzen, um ihre Infrastruktur auf Kompromittierungen zu überprüfen und entsprechende Gegenmaßnahmen einzuleiten.
(Quelle: 2025 State of the Internet: Digging into Residential Proxy Infrastructure)
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
