Investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnet llamado Aeternum C2. Este cargador de botnet utiliza una infraestructura de comando y control (C2) basada en blockchain para hacerlo más resistente a los esfuerzos de eliminación.
«En lugar de depender de servidores o dominios tradicionales para el comando y control, Aeternum almacena instrucciones en la cadena de bloques pública Polygon», dijo Qrator Labs en un informe compartido con The Hacker News.
«Esta red se utiliza ampliamente en aplicaciones descentralizadas, incluido Polymarket, el mercado de predicción más grande del mundo. Este enfoque hace que la infraestructura C2 de Aeternum sea efectivamente persistente y resistente a los métodos de eliminación tradicionales».
Esta no es la primera vez que se descubre una botnet que depende de la cadena de bloques de C2. En 2021, Google anunció que había tomado medidas para interrumpir una botnet conocida como Glupteba que utiliza la cadena de bloques de Bitcoin como mecanismo C2 de respaldo para obtener direcciones de servidores C2 reales.
Los detalles de Aeternum C2 surgieron por primera vez en diciembre de 2025, cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado LenAI estaba promocionando el malware en foros clandestinos por 200 dólares, lo que daba a los clientes acceso al panel y a las compilaciones configuradas. Por 4.000 dólares, supuestamente a los clientes se les prometió todo el código base de C++ y sus actualizaciones.
El malware funciona escribiendo comandos emitidos a hosts infectados en contratos inteligentes en la cadena de bloques Polygon, con un cargador nativo de C++ disponible en versiones x32 y x64. Luego, el bot consulta un punto final de llamada a procedimiento remoto público (RPC) para leer estos comandos.
Todo esto se gestiona a través de un panel basado en web desde el cual los clientes pueden seleccionar un contrato inteligente, elegir un tipo de comando, especificar una URL de carga útil y actualizarlo. Este comando puede apuntar a todos los puntos finales o a puntos finales específicos y, después de escribirse en la cadena de bloques como una transacción, estará disponible para todos los dispositivos comprometidos que sondeen la red.
«Una vez que se confirma un comando, nadie más que el propietario de la billetera no puede modificarlo ni eliminarlo», dijo Qrator Labs. «Los operadores pueden gestionar múltiples contratos inteligentes simultáneamente, cada uno de los cuales ofrece potencialmente diferentes cargas útiles y funcionalidades, como cortapelos, ladrones, RAT y mineros».
Según un estudio de dos partes publicado por Ctrl Alt Intel a principios de este mes, el Panel C2 se implementa como una aplicación web Next.js y permitirá a los operadores implementar contratos inteligentes en la cadena de bloques Polygon. El contrato inteligente contiene una función que, cuando el malware la llama a través de Polygon RPC, devuelve un comando cifrado que luego se decodifica y ejecuta en la máquina de la víctima.
El malware no solo aprovecha la cadena de bloques para convertirla en una botnet resistente a la eliminación, sino que también incluye una variedad de funciones antianálisis para extender la vida útil de la infección. Esto incluye comprobaciones para detectar entornos virtualizados, además de brindar a los clientes la capacidad de escanear compilaciones a través de Kleenscan para asegurarse de que no hayan sido marcadas por proveedores de antivirus.
«Los costos operativos son insignificantes: 1 dólar en MATIC, el token nativo de la red Polygon, es suficiente para entre 100 y 150 transacciones de comando», dijo el proveedor checo de ciberseguridad. «Los operadores no necesitan alquilar servidores, registrar dominios ni mantener ninguna infraestructura que no sea una copia local de una billetera o panel de criptomonedas».
Luego, el actor de amenazas intentó vender todo el conjunto de herramientas por un precio inicial de $10,000, alegando que carecían de tiempo de soporte y estaban involucrados en otro proyecto. «Venderé todo el proyecto a una persona con todos los ‘derechos’ y permiso para reventa y uso comercial», dijo LenAI. «También proporciona notas y consejos de desarrollo útiles que quizás no hayas podido implementar por falta de tiempo».
Vale la pena señalar que LenAI también está detrás de una segunda solución de crimeware llamada ErrTraffic. Esta solución permite a los actores de amenazas automatizar los ataques ClickFix generando fallos falsos en sitios web comprometidos para inducir una falsa sensación de urgencia y engañar a los usuarios para que sigan instrucciones maliciosas.
La divulgación se produce después de que Infrawatch publicara detalles de un servicio clandestino que implementa hardware portátil especializado en hogares estadounidenses e integra los dispositivos en una red proxy residencial llamada DSLRoot, que redirige el tráfico malicioso.
Este hardware está diseñado para ejecutar un programa basado en Delphi llamado DSLPylon con la capacidad de enumerar módems compatibles en la red y controlar de forma remota equipos de redes residenciales y dispositivos Android a través de la integración de Android Debug Bridge (ADB).
«El análisis de atribución reveló que el operador es un ciudadano bielorruso que reside en Minsk y Moscú», dijo InfraWatch. «Se estima que DSLRoot opera aproximadamente 300 dispositivos de hardware activos en más de 20 estados de los Estados Unidos».
El operador ha sido identificado como Andrei Holas (también conocido como Andre Holas y Andrei Golas), y el servicio está siendo anunciado en BlackHatWorld por un usuario con el alias GlobalSolutions, que afirma estar vendiendo proxies ADSL residenciales físicos por 190 dólares al mes para acceso ilimitado. Una suscripción de seis meses está disponible por $990 y una suscripción anual está disponible por $1750.
«El software personalizado de DSLRoot proporciona administración remota automática de módems de consumo (ARRIS/Motorola, Belkin, D-Link, ASUS) y dispositivos Android a través de ADB, lo que permite la rotación de direcciones IP y el control de conexión», dijo la compañía. «La red opera sin autenticación, lo que permite a los clientes enrutar el tráfico de forma anónima a través de IP residenciales de EE. UU.».
Source link
