El ámbito de comando y control (C2) de código amplio conocido como AdaptixC2 está siendo utilizado por un número creciente de actores de amenazas, algunos de los cuales están relacionados con bandas rusas de ransomware.
AdaptixC2 es un ámbito de pugna adversario y post-explotación desplegable emergente diseñado para pruebas de penetración. Si aceptablemente el componente del servidor está escrito en Golang, el cliente GUI está escrito en C++ QT para compatibilidad multiplataforma.
Viene con una amplia grado de funciones, que incluyen comunicaciones totalmente cifradas, ejecución de comandos, administradores de credenciales y capturas de pantalla y una terminal remota, entre otras. Un legatario de GitHub llamado “RalfHacker” (@HackerRalf on X) lanzó públicamente una de las primeras versiones en agosto de 2024, y se describe a sí mismo como un probador de penetración, cámara del equipo rojo y “MalDev” (iniciales de desarrollador de malware).
En los últimos meses, AdaptixC2 ha sido acogido por varios grupos de hackers, incluidos actores de amenazas vinculados a las operaciones de ransomware Fog y Akira, así como por un corredor de acercamiento original que ha aplicado CountLoader en ataques diseñados para ofrecer diversas herramientas posteriores a la explotación.
La Dispositivo 42 de Palo Suspensión Networks, que desglosó los aspectos técnicos del ámbito el mes pasado, lo caracterizó como un ámbito modular y versátil que se puede utilizar para “controlar integralmente las máquinas afectadas” y que se ha utilizado como parte de estafas falsas de llamadas de soporte técnico a través de Microsoft Teams y mediante un script de PowerShell generado por inteligencia químico (IA).
Si aceptablemente AdaptixC2 se ofrece como una útil ética y de código amplio para actividades de equipos rojos, todavía está claro que ha atraído la atención de los ciberdelincuentes.
La empresa de ciberseguridad Silent Push dijo que la hazañas de RalfHacker en GitHub acerca de que eran un “MalDev” desencadenó una investigación, lo que les permitió encontrar varias direcciones de correo electrónico para cuentas de GitHub vinculadas al propietario de la cuenta, encima de un canal de Telegram llamado RalfHackerChannel, donde volvieron a compartir mensajes publicados en un canal dedicado para AdaptixC2. El canal RalfHackerChannel tiene más de 28.000 suscriptores.
En un mensaje en el canal AdaptixFramework en agosto de 2024, mencionaron su interés en iniciar un esquema sobre un “C2 sabido, que está muy de moda en este momento” y esperaban “que sea como Empire”, otro ámbito popular de pugna de adversarios y posterior a la explotación.
Si aceptablemente actualmente no se sabe si RalfHacker tiene alguna billete directa en actividad maliciosa vinculada a AdaptixC2 o CountLoader en esta etapa, Silent Push dijo que sus “vínculos con la clandestinidad criminal de Rusia, a través del uso de Telegram para marketing y el posterior aumento de la utilización de la útil por parte de actores de amenazas rusos, generan importantes señales de alerta”.
The Hacker News se comunicó con RalfHacker para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
