Los investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnets llamado Aeternum C2 que utiliza una infraestructura de comando y control (C2) basada en una cadena de bloques para que sea resistente a los esfuerzos de desmantelamiento.

«En lugar de confiar en servidores o dominios tradicionales para el mando y el control, Aeternum almacena sus instrucciones en la cadena de bloques pública de Polygon», dijo Qrator Labs dijo en un informe compartido con The Hacker News.

«Esta red es ampliamente utilizada por aplicaciones descentralizadas, incluido Polymarket, el mercado de predicción más grande del mundo. Este enfoque hace que la infraestructura C2 de Aeternum sea efectivamente permanente y resistente a los métodos tradicionales de desmontaje».

Esta no es la primera vez que se descubren botnets que dependen de la cadena de bloques para C2. En 2021, Google dijo que había tomado medidas para desbaratar una botnet conocida como Glupteba que utiliza la cadena de bloques de Bitcoin como mecanismo C2 de respaldo para obtener la dirección real del servidor C2.

Los detalles de Aeternum C2 aparecieron por primera vez en diciembre de 2025, cuando KrakenLabs de Outpost24 revelada que un actor de amenazas llamado LenAI anunciaba el malware en foros clandestinos por 200 dólares, lo que permitía a los clientes acceder a un panel y a una versión configurada. Por 4.000 dólares, supuestamente se les prometió a los clientes el código base completo de C++ junto con las actualizaciones.

adsense

El malware, un cargador nativo de C++ disponible en versiones x32 y x64, funciona escribiendo comandos que se envían al host infectado para contratos inteligentes en la cadena de bloques Polygon. A continuación, los bots leen esos comandos consultando los puntos finales públicos de las llamadas a procedimientos remotos (RPC).

Todo esto se gestiona a través del panel basado en la web, desde el que los clientes pueden seleccionar un contrato inteligente, elegir un tipo de comando, especificar una URL de carga útil y actualizarla. El comando, que puede dirigirse a todos los terminales o a uno específico, se escribe en la cadena de bloques como una transacción, tras lo cual pasa a estar disponible para todos los dispositivos comprometidos que estén sondeando la red.

«Una vez que se confirma una orden, nadie más que el titular de la cartera no puede modificarla ni eliminarla», afirma Qrator Labs. «El operador puede gestionar varios contratos inteligentes de forma simultánea, cada uno de los cuales puede cumplir una carga útil o una función diferente, como un cortaúñas, un ladrón, un ladrón o un minero».

Según un investigación en dos partes publicado por Ctrl Alt Intel a principios de este mes, el panel C2 se implementó como una aplicación web Next.js que permite a los operadores implementar contratos inteligentes en la cadena de bloques Polygon. Los contratos inteligentes contienen una función que, cuando el malware invoca a través de la RPC de Polygon, hace que devuelva el comando cifrado que, posteriormente, se decodifica y ejecuta en las máquinas afectadas.

Además de utilizar la cadena de bloques para convertirla en una botnet resistente a la eliminación, el malware incluye varias funciones antianálisis para prolongar la vida útil de las infecciones. Esto incluye comprobaciones para detectar entornos virtualizados, además de ofrecer a los clientes la posibilidad de escanear sus compilaciones mediante Kleenscan para garantizar que los proveedores de antivirus no los marquen.

«Los costos operativos son insignificantes: MATIC, el token nativo de la red Polygon, por un valor de 1 dólar es suficiente para entre 100 y 150 transacciones de comando», dijo el proveedor de ciberseguridad checo. «El operador no necesita alquilar servidores, registrar dominios ni mantener ninguna infraestructura más allá de una billetera criptográfica y una copia local del panel».

Desde entonces, el actor de la amenaza ha intentó vender todo el conjunto de herramientas por un precio de venta de 10.000 dólares, alegando falta de tiempo para recibir apoyo y su participación en otro proyecto. «Venderé todo el proyecto a una persona con permiso para su reventa y uso comercial, con todos los 'derechos'», dijo LenAi. «También daré consejos y notas útiles sobre el desarrollo que no tuve tiempo de implementar».

Vale la pena señalar que LenAI también está detrás de una segunda solución de crimeware llamada Tráfico de errores que permite a los actores de amenazas automatizar los ataques de ClickFix al generar fallos falsos en los sitios web comprometidos para inducir una falsa sensación de urgencia y engañar a los usuarios para que sigan instrucciones maliciosas.

La revelación se produce cuando Infrawatch publicó detalles sobre un servicio clandestino que implementa hardware portátil dedicado en los hogares estadounidenses para incorporar los dispositivos a una red proxy residencial llamada DSLRoot que redirige el tráfico malicioso a través de ellos.

enlaces

El hardware está diseñado para ejecutar un programa basado en Delphi llamado DSLPylon que está equipado con la capacidad de enumerar los módems compatibles en la red, así como de controlar de forma remota los equipos de red residenciales y los dispositivos Android a través de un puente de depuración de Android ( ADB ) integración.

«El análisis de atribución identifica al operador como ciudadano bielorruso con presencia residencial en Minsk y Moscú», Infrawatch dijo . «Se estima que DSLRoot opera aproximadamente 300 dispositivos de hardware activos en más de 20 estados de EE. UU.»

El operador ha sido identificado como Andrei Holas (también conocido como Andre Holas y Andrei Golas), y el servicio lo promociona en BlackHatWorld un usuario que opera bajo el alias de GlobalSolutions, que afirma ofrecer proxies ADSL residenciales físicos a la venta por 190 dólares al mes para un acceso sin restricciones. También está disponible por 990 dólares durante seis meses y 1.750 dólares por suscripciones anuales.

«El software personalizado de DSLRoot proporciona una administración remota automatizada de módems de consumo (ARRIS/Motorola, Belkin, D-Link, ASUS) y dispositivos Android a través de ADB, lo que permite la rotación de direcciones IP y el control de conectividad», señaló la empresa. «La red funciona sin autenticación, lo que permite a los clientes enrutar el tráfico de forma anónima a través de direcciones IP residenciales de EE. UU.»

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.