Selon Unit 42 (Palo Alto Networks), AdaptixC2 est un framework de commande‑et‑contrôle open source activement employé par des acteurs malveillants. Cet outil de post‑exploitation offre un contrôle étendu du système, la manipulation de fichiers et l’exfiltration de données tout en restant largement discret.
🚨AdaptixC2 est un nouveau framework open-source de post-exploitation et d’émulation adversaire, utilisé en conditions réelles depuis mai 2025 pour des attaques ciblées Il permet aux acteurs malveillants d’exécuter des commandes, d’exfiltrer des données, de manipuler des fichiers et de maintenir une activité furtive sur les machines compromises. Sa modularité, ses capacités de tunneling (SOCKS4/5), port forwarding, et la prise en charge de BOFs (Beacon Object Files) rendent AdaptixC2 hautement personnalisable et difficile à détecter
Les attaques observées utilisent (TTP) des loaders PowerShell sophistiqués :
- Téléchargement et déchiffrement de shellcode depuis des serveurs externes
- Injection fileless en mémoire via .NET (GetDelegateForFunctionPointer)
- Persistance : création de raccourcis de démarrage ou DLL hijacking via msimg32.dll dans APPDATA
- Discrétion par configuration chiffrée (RC4), profils HTTP/SMB/TCP et obfuscation avancée
- Emploi de méthodes anti-sandbox/anti-analysis, configuration de killdate/working time pour opsec
- Scripts typiquement générés ou assistés par IA (verbose comments, icon markers)
Scénarios d’attaque documentés :
- Compromission via phishing ciblé (Teams/Help Desk), abus d’outils légitimes comme Quick Assist
- Machine compromise rejointe sur beacon AdaptixC2, déploiement de Fog ransomware en phase finale
- Reconnaissance en ligne de commande (nltest.exe, whoami.exe, ipconfig.exe), mouvement latéral, exfiltration
IOCs – Indicateurs techniques associés :
- Hashs scripts : bdb1b9e37f6467b5f98d151a43f280f319bacf18198b22f55722292a832933ab, 83AC38FB389A56A6BD5EB39ABF2AD81FAB84A7382DA296A855F62F3CDD9D629D, etc.
- Executables/DLL AdaptixC2 : b81aa37867f0ec772951ac30a5616db4d23ea49f7fd1a07bb1f1f45e304fc625, df0d4ba2e0799f337daac2b0ad7a64d80b7bcd68b7b57d2a26e47b2f520cc260
- Domains : tech-system[.]online, protoflint[.]com, novelumbsasa[.]art, express1solutions[.]com, etc.
- Yara rules fournies pour détection sur HTTP/SMB/TCP beacon, beaconGo, loader
Points défensifs :
- Surveillance Active des logs PowerShell, des exécutions en mémoire et des mécaniques de persistance (runkeys, DLL drop)
- Détection avancée via URL/DNS/Web Filtering, Threat Prevention/ML, Yara
- Utilisation des requêtes de hunting pour pivoter sur activité Teams/RMM suspecte (T1547.001 MITRE)
- Mise en place de configuration extractor pour analyser toutes les variantes de beacon AdaptixC2
Face à l’adoption croissante d’AdaptixC2, il est essentiel de renforcer les mesures de défense et de partage d’intelligence pour anticiper l’évolution rapide des méthodes adverses (notamment via IA et customisation rapide des payloads)
Type d’article : analyse de menace visant à documenter un framework C2 open source, ses scénarios d’infection et ses techniques de furtivité.
🔗 Source originale : https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/