Investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnet llamado Imperecedero C2 que utiliza una infraestructura de comando y control (C2) basada en blockchain para hacerlo resistente a los esfuerzos de aniquilación.
“En ocasión de reconocer de servidores o dominios tradicionales para el comando y control, Aeternum almacena sus instrucciones en la esclavitud de bloques pública Polygon”, dijo Qrator Labs en un mensaje compartido con The Hacker News.
“Esta red es ampliamente utilizada por aplicaciones descentralizadas, incluido Polymarket, el mercado de predicción más holgado del mundo. Este enfoque hace que la infraestructura C2 de Aeternum sea efectivamente permanente y resistente a los métodos tradicionales de aniquilación”.
Esta no es la primera vez que se descubre que botnets dependen de blockchain para C2. En 2021, Google dijo que tomó medidas para interrumpir una botnet conocida como Glupteba que utiliza la esclavitud de bloques de Bitcoin como mecanismo C2 de respaldo para recuperar la dirección actual del servidor C2.
Los detalles de Aeternum C2 surgieron por primera vez en diciembre de 2025, cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado LenAI estaba anunciando el malware en foros clandestinos por 200 dólares que otorga a los clientes paso a un panel y una compilación configurada. Por 4.000 dólares, supuestamente a los clientes se les prometió todo el código pulvínulo de C++ adyacente con las actualizaciones.
El malware, un cargador nativo de C++ acondicionado en versiones x32 y x64, funciona escribiendo comandos que se emiten al host infectado en contratos inteligentes en la esclavitud de bloques Polygon. Luego, los bots leen esos comandos consultando puntos finales públicos de indicación a procedimiento remoto (RPC).
Todo esto se gestiona a través del panel web, desde donde los clientes pueden decidir un convenio inteligente, nominar un tipo de comando, especificar una URL de carga útil y actualizarla. El comando, que puede apuntar a todos los puntos finales o a uno específico, se escribe en la esclavitud de bloques como una transacción, posteriormente de lo cual queda acondicionado para todos los dispositivos comprometidos que estén sondeando la red.
“Una vez que se confirma un comando, nadie más que el titular de la billetera no puede modificarlo ni eliminarlo”, dijo Qrator Labs. “El cirujano puede ejecutar múltiples contratos inteligentes simultáneamente, cada uno de los cuales potencialmente cumple una carga útil o función diferente, como un clipper, un usurero, un RAT o un minero”.
Según una investigación de dos partes publicada por Ctrl Alt Intel a principios de este mes, el panel C2 se implementa como una aplicación web Next.js que permite a los operadores implementar contratos inteligentes en la esclavitud de bloques Polygon. Los contratos inteligentes contienen una función que, cuando el malware la apasionamiento a través de Polygon RPC, hace que devuelva el comando criptográfico que después se decodifica y se ejecuta en las máquinas víctimas.
Por otra parte de utilizar blockchain para convertirla en una botnet resistente a la aniquilación, el malware incluye varias funciones antianálisis para extender la vida útil de las infecciones. Esto incluye comprobaciones para detectar entornos virtualizados, encima de equipar a los clientes con la capacidad de escanear sus compilaciones a través de Kleenscan para asegurar que no sean señaladas por los proveedores de antivirus.
“Los costes operativos son insignificantes: 1 dólar en MATIC, el token nativo de la red Polygon, es suficiente para entre 100 y 150 transacciones de comando”, dijo el proveedor checo de ciberseguridad. “El cirujano no necesita traspasar servidores, registrar dominios ni permanecer ninguna infraestructura más allá de una billetera criptográfica y una copia locorregional del panel”.
Desde entonces, el actor de amenazas ha intentado entregar todo el conjunto de herramientas por un precio original de 10.000 dólares, alegando equivocación de tiempo para acoger soporte y su billete en otro esquema. “Venderé todo el esquema a una persona con permiso para reventa y uso comercial, con todos los ‘derechos'”, dijo LenAI. “Asimismo daré consejos/notas efectos sobre el progreso que no tuve tiempo de implementar”.
Vale la pena señalar que LenAI además está detrás de una segunda posibilidad de crimeware indicación ErrTraffic que permite a los actores de amenazas automatizar los ataques ClickFix generando fallos falsos en sitios web comprometidos para inducir una falsa sensación de emergencia y engañar a los usuarios para que sigan instrucciones maliciosas.
La divulgación se produce cuando Infrawatch publicó detalles de un servicio clandestino que implementa hardware de computadoras portátiles dedicado en hogares estadounidenses para incorporar los dispositivos a una red proxy residencial indicación DSLRoot que redirige el tráfico pillo a través de ellos.
El hardware está diseñado para ejecutar un software basado en Delphi llamado DSLPylon que está equipado con capacidades para enumerar módems compatibles en la red, así como para controlar de forma remota el equipo de red residencial y los dispositivos Android a través de una integración de Android Debug Bridge (ADB).
“El descomposición de atribución identifica al cirujano como un ciudadano bielorruso con presencia residencial en Minsk y Moscú”, dijo Infrawatch. “Se estima que DSLRoot opera aproximadamente 300 dispositivos de hardware activos en más de 20 estados de EE. UU.”.
El cirujano ha sido identificado como Andrei Holas (además conocido como Andre Holas y Andrei Golas), con el servicio promocionado en BlackHatWorld por un adjudicatario que opera bajo el sobrenombre GlobalSolutions, afirmando ofrecer proxies ADSL residenciales físicos a la liquidación por $190 por mes para paso sin restricciones. Asimismo está acondicionado por $990 por seis meses y $1,750 por suscripciones anuales.
“El software personalizado de DSLRoot proporciona trámite remota automatizada de módems de consumo (ARRIS/Motorola, Belkin, D-Link, ASUS) y dispositivos Android a través de ADB, lo que permite la rotación de direcciones IP y el control de la conectividad”, señaló la empresa. “La red opera sin autenticación, lo que permite a los clientes enrutar el tráfico de forma anónima a través de IP residenciales de EE. UU.”.
