锁定ORB网络PolarEdge的关键拼图：RPX中继系统浮出水面

## 背景介绍
2025年5月30日，奇安信Xlab大网威胁感知系统监测到一个IP地址正在传播名为“w”的ELF文件。 AI模块识别其与僵尸网络PolarEdge相关，但VirusTotal检测结果为零，这引发了对PolarEdge新一轮活动的猜测。

PolarEdge最早由安全厂商Sekoia于2025年2月披露，它利用物联网（IoT）和边缘设备的漏洞，构建一个“运营中继盒子”（Operational Relay Boxes, ORB）网络，为网络犯罪活动提供基础设施服务。 ORB网络类似于住宅代理，专注于长期潜伏和流量混淆，因其出色的规避检测、隐藏攻击源和复杂化归因分析的能力，备受高级持续性威胁（APT）攻击者的青睐。

## 核心发现：RPX 中继系统
经过深入的关联分析，一个此前从未被公开记录的组件 **RPX_Client** 浮出水面。 该组件的核心功能包括：
*   将被控设备接入指定的C2（命令与控制）节点的代理池。
*   提供代理服务。
*   支持远程命令执行。

RPX_Client的发现，与此前Censys在2025年9月报告中披露的服务端程序 **RPX_Server** 形成了完美的拼图。 尽管Censys曾因证书问题降低了RPX_Server与PolarEdge的关联置信度，但Xlab通过样本同源性、功能契合度以及数据库记录等多重证据，高置信度地确认了二者的归属。

RPX_Client和RPX_Server共同构成了一个典型的客户端-服务器架构，揭示了PolarEdge背后的中继运行机制和节点管理方式。

## 基础设施与感染规模
通过对RPX系统的分析，奇安信的研究人员取得了显著成果：
*   **基础设施层面**：已识别出 **140个 C2服务器**。
*   **感染节点层面**：发现自2024年7月以来，累计已有超过 **25,000个 IP地址** 被感染，分布在全球40个国家和地区。

数据显示，受感染的设备主要集中在东南亚和北美，其中韩国占比最高（41.97%），其次是中国（20.35%）。 主要受害设备为KT的CCTV系统和深圳TVT的数字录像机，合计占感染总数的90%以上。

## 结论
RPX系统的揭露，让我们得以一窥PolarEdge僵尸网络的核心中继机制。它通过海量受感染的IoT设备构成代理节点，并由廉价VPS搭建服务器节点，为攻击者提供了坚固的掩护，极大地增加了追踪和归因的难度。

由RPX_Server、Go-Admin和Nginx共同实现的节点管理与业务分发机制也被初步阐明。 尽管目前视野有限，后门样本与RPX系统的具体关联方式仍是未解之谜，但这一发现无疑为后续深入研究PolarEdge网络奠定了坚实基础。