ORB-Netzwerk PolarEdge mit fast 40.000 betroffenen Hosts weltweit
Censys, einer der führenden Anbieter von Lösungen für Threat Intelligence, Threat Hunting und Attack Surface Management, analysiert in seinem diesjährigen Forschungsbericht die Infrastrukturen von Cyberangriffen. Im Rahmen der Untersuchung haben die Forscher von Censys auch Residential Proxy-Netzwerke analysiert. Dabei wurde mit PolarEdge ein mutmaßliches ORB (Operation Relay Boxes)-Netzwerk untersucht, das Anfang August 2025 mit fast 40.000 Geräten aktiv war. PolarEdge zeigt, wie sich moderne IoT-Botnets von kurzlebigen Ausbrüchen zu einer dauerhaften, global verteilten Infrastruktur entwickeln, die langfristig heimlich böswillige Operationen unterstützt. Ein tieferes Verständnis der Infrastruktur von ORBs kann dabei helfen, weitere Proxy-basierte Angriffe zu erkennen und zu unterbinden.
Im alltäglichen regen Betrieb im Internet erfüllen viele Geräte still und leise eine doppelte Aufgabe und leiten – wissentlich oder unwissentlich – Datenverkehr über gewöhnliche Verbrauchergeräte weiter. Auch wenn nicht alle Residential Proxys bösartig sind, kompromittieren Angreifer häufig Router oder IoT-Geräte, um Proxy-Netzwerke zu schaffen. So lassen sich böswillige Aktivitäten hinter vertrauenswürdigen, geografisch verstreuten IP-Adressen verbergen. Dadurch sind sie weitaus schwieriger zu erkennen oder zu blockieren als Proxys in Rechenzentren und bieten Angreifern eine zusätzliche Ebene der Anonymität. ORBs sind eine besonders heimliche Art von böswilligen Proxys und müssen die Kernfunktion des Geräts nicht übernehmen. Stattdessen können sie den Datenverkehr unbemerkt im Hintergrund weiterleiten, während das Gerät weiterarbeitet. So ist eine Erkennung durch den Besitzer oder ISP unwahrscheinlich.
PolarEdge ist vermutlich seit Ende 2023 aktiv und folgte zunächst einem bekannten Muster durch die Ausnutzung einer kritischen Schwachstelle in Routern und die Implementierung von Base64-kodierten Webshells. Anfang 2025 verlagerte sich der Fokus von PolarEdge jedoch auf die dauerhafte Kompromittierung einer größeren Bandbreite an Edge-Geräten unter Verwendung einer benutzerdefinierten TLS-Backdoor. Diese Backdoor ermöglicht verschlüsselte Command and Control-Funktionen, die Bereinigung von Protokollen sowie dynamische Infrastruktur-Updates.
Mit Internet-Scan-Daten der Censys-Plattform von Anfang August 2025 konnten die Forscher insgesamt 39.847 Hosts beobachten, die das mit der Backdoor verbundene IOC-Zertifikat aufweisen. Zudem wurden die betroffenen Länder, Netzwerke und Gerätetypen kartografisch dargestellt. Dies vermittelt ein klareres Bild davon, wo sich die Infrastruktur des Botnetzes konzentriert und welche Arten von Internetdienstanbietern es bevorzugt. Mit 51,6 % befindet sich mehr als die Hälfte der betroffenen Hosts in Südkorea, 21,1 % in den USA. Schweden liegt mit 1.300 betroffenen Hosts auf Platz vier, Polen mit 350 Hosts auf Platz neun.
In weiteren Schritten konnten die Forscher weitere Erkenntnisse zu PolarEdge sammeln, etwa zur Zahl der infizierten Hosts pro Netzwerk oder zu den angegriffenen Ports und Geräten. Erfahren Sie im Blogbeitrag mehr über das konkrete Vorgehen der Censys-Forscher und ihre detaillierten Ergebnisse: https://censys.com/blog/2025-state-of-the-internet-digging-into-residential-proxy-infrastructure.
Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.
Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de
Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0
Die Bildrechte liegen bei dem Verfasser der Mitteilung.
