Aeternum C2 ботнет складира енкриптирани команди на Polygon Blockchain за да избегне отстранување

Истражувачи за сајбер-безбедност открија детали за нов ботнет loader наречен Aeternum C2, кој користи инфраструктура за команда и контрола (C2) базирана на блокчејн за да стане отпорен на обиди за гасење.

„Наместо да се потпира на традиционални сервери или домени за C2, Aeternum ги складира своите инструкции на јавниот Polygon блокчејн,“ соопшти Qrator Labs во извештај споделен со The Hacker News.

„Оваа мрежа е широко користена од децентрализирани апликации, вклучувајќи го Polymarket, најголемиот светски prediction market. Овој пристап ја прави C2 инфраструктурата на Aeternum практично трајна и отпорна на традиционални методи за гасење.“

Ова не е првпат ботнети да користат блокчејн за C2. Во 2021 година, Google соопшти дека презел чекори за нарушување на ботнетот Glupteba, кој го користел Bitcoin блокчејнот како резервен C2 механизам за преземање на вистинската адреса на C2 серверот.

Детали за Aeternum C2 првпат се појавија во декември 2025 година, кога Outpost24 KrakenLabs откри дека заканувачки актер го рекламирал malware-от на underground форуми за 200 долари, нудејќи пристап до контролен панел и конфигурирана верзија. За 4.000 долари, наводно се нудел целосниот C++ изворен код со ажурирања.

Станува збор за native C++ loader достапен во x32 и x64 верзии. Малициозниот софтвер запишува команди за инфицираните хостови во smart contracts на Polygon.

Инфицираните уреди потоа ги читаат тие команди преку јавни RPC endpoints.

Сè се управува преку веб-панел, каде операторите можат да изберат smart contract, да одберат тип на команда, да специфицираат URL за payload и да го ажурираат payload-от.

Командата може да биде насочена кон сите уреди или кон конкретен уред и се запишува како трансакција на блокчејнот, по што станува достапна за сите компромитирани уреди што ја следат мрежата.

„Откако командата ќе биде потврдена, таа не може да биде изменета или отстранета од никого освен од сопственикот на wallet-от,“ објаснува Qrator Labs. „Операторот може истовремено да управува со повеќе smart contracts, секој од кои може да испорачува различен payload или функција, како clipper, stealer, RAT или miner.“

Според истражување на Ctrl Alt Intel, C2 панелот е Next.js веб-апликација која им овозможува на операторите да деплојираат smart contracts на Polygon блокчејнот.

Smart contract-ите содржат функција која, кога ќе биде повикана преку Polygon RPC од malware-от, враќа енкриптирана команда. Таа потоа се декодира и извршува на машините на жртвите.

Освен користење на блокчејнот за да се претвори во ботнет отпорен на гасење, malware-от содржи различни функции за анти-анализа за да го продолжи животниот век на инфекциите. Ова вклучува проверки за откривање виртуелизирани средини, како и можност клиентите да ги скенираат своите build-ови преку Kleenscan за да се осигурат дека нема да бидат означени од антивирусни производители.

„Оперативните трошоци се минимални: 1 долар во MATIC, нативниот токен на Polygon мрежата, е доволен за 100 до 150 командни трансакции,“ соопшти чешкиот сајбер-безбедносен снабдувач. „Операторот нема потреба да изнајмува сервери, да регистрира домени или да одржува каква било инфраструктура освен крипто паричник и локална копија од панелот.“

Заканувачкиот актер подоцна се обиде да го продаде целиот алат за цена од 10.000 долари, тврдејќи дека нема време за поддршка и дека е вклучен во друг проект. „Ќе го продадам целиот проект на една личност со дозвола за препродажба и комерцијална употреба, со сите ‘права’,“ изјави LenAI. „Исто така ќе дадам корисни совети/забелешки за развојот кои не стигнав да ги имплементирам.“

Вреди да се напомене дека LenAI е исто така креатор на второ криминално софтверско решение наречено ErrTraffic, кое им овозможува на заканувачките актери да автоматизираат ClickFix напади со генерирање лажни дефекти на компромитирани веб-страници за да создадат лажно чувство на итност и да ги измамат корисниците да следат малициозни инструкции.

Објавата доаѓа откако Infrawatch објави детали за подземна услуга која инсталира наменски лаптоп хардвер во домови во САД за да ги искористи уредите во residential proxy мрежа наречена DSLRoot, која го пренасочува малициозниот сообраќај преку нив.

Хардверот е дизајниран да работи Delphi-базиран програм наречен DSLPylon, кој има можности да ги набројува поддржаните модеми на мрежата, како и далечински да ја контролира домашната мрежна опрема и Android уредите преку Android Debug Bridge (ADB) интеграција.

„Анализата на атрибуција го идентификува операторот како белоруски државјанин со престој во Минск и Москва,“ соопшти Infrawatch. „DSLRoot се проценува дека оперира околу 300 активни хардверски уреди низ повеќе од 20 американски држави.“

Операторот е идентификуван како Andrei Holas (познат и како Andre Holas и Andrei Golas), а услугата била промовирана на BlackHatWorld од корисник со алијас GlobalSolutions, кој тврдел дека нуди физички residential ADSL прокси за продажба по цена од 190 долари месечно за неограничен пристап. Исто така е достапна за 990 долари за шест месеци и 1.750 долари за годишна претплата.

„Сопствениот софтвер на DSLRoot овозможува автоматизирано далечинско управување со потрошувачки модеми (ARRIS/Motorola, Belkin, D-Link, ASUS) и Android уреди преку ADB, овозможувајќи ротација на IP адреси и контрола на конекцијата,“ соопшти компанијата. „Мрежата работи без автентикација, дозволувајќи им на клиентите анонимно да го пренасочуваат сообраќајот преку американски residential IP адреси.“

Извори:

• The Hacker News – Aeternum C2 Botnet Stores Encrypted Commands on Polygon Blockchain to Evade Takedown The Hacker News