El marco de comando y control (C2) de código abierto conocido como AdaptixC2 está siendo utilizado por un número creciente de actores de amenazas, algunos de los cuales están asociados con bandas rusas de ransomware.
AdaptixC2 es un marco extensible de emulación post-explotación y adversario diseñado para pruebas de penetración. El componente del servidor está escrito en Golang, mientras que el cliente GUI está escrito en C++ QT para compatibilidad multiplataforma.
Viene con una amplia gama de funciones, que incluyen comunicaciones totalmente cifradas, ejecución de comandos, un administrador de credenciales y capturas de pantalla y una terminal remota. Una versión anterior fue lanzada públicamente en agosto de 2024 por un usuario de GitHub llamado «RalfHacker» (@HackerRalf en X). Este usuario se describe a sí mismo como probador de penetración, operador del equipo rojo y «MalDev» (abreviatura de desarrollador de malware).
En los últimos meses, AdaptixC2 ha sido empleado por varios grupos de hackers, incluidos actores de amenazas asociados con las operaciones de ransomware Fog y Akira, así como corredores de acceso temprano que aprovecharon CountLoader en ataques destinados a proporcionar una variedad de herramientas posteriores a la explotación.
La Unidad 42 de Palo Alto Networks, que analizó los aspectos técnicos del marco el mes pasado, lo caracterizó como un marco modular y versátil que puede usarse para «brindar un control integral sobre las máquinas afectadas» y como parte de una falsa estafa telefónica de soporte técnico a través de Microsoft Teams y scripts de PowerShell generados con inteligencia artificial (IA).
Aunque AdaptixC2 se presenta como una herramienta ética de código abierto para equipos rojos, claramente ha atraído la atención de los ciberdelincuentes.
La firma de ciberseguridad Silent Push dijo que el perfil de GitHub de RalfHacker como «MalDev» provocó una investigación que condujo al descubrimiento de varias direcciones de correo electrónico de cuentas de GitHub vinculadas al propietario de la cuenta, así como un canal de Telegram llamado RalfHackerChannel, donde se compartían los mensajes publicados en el canal dedicado de AdaptixC2. El canal RalfHackerChannel tiene más de 28.000 suscriptores.
En un mensaje en el canal AdaptixFramework en agosto de 2024, dijeron que estaban interesados en iniciar un proyecto en torno a «Public C2, que está muy de moda en este momento», y esperaban «ser como Empire», otro popular marco de emulación post-explotación y adversario.
Si bien no está claro en este momento si RalfHacker está directamente involucrado en actividades maliciosas relacionadas con AdaptixC2 o CountLoader, Silent Push dijo que sus «conexiones con el inframundo criminal ruso a través del uso de Telegram con fines de marketing y el posterior mayor uso de la herramienta por parte de actores de amenazas rusos generan importantes señales de alerta».
Hacker News se ha puesto en contacto con RalfHacker para solicitar comentarios. Actualizaré el artículo si recibo una respuesta.
Source link
