Selon Qrator Research Lab (26 février 2026), un nouveau loader de botnet nommé Aeternum C2 exploite la blockchain Polygon pour héberger ses commandes de contrôle, contournant les méthodes classiques de démantèlement.

Aeternum C2 est un loader natif C++ (x32/x64) dont l’originalité est de stocker chaque commande de C2 dans des smart contracts Polygon, que les hôtes infectés lisent via des endpoints RPC publics. L’opérateur pilote le tout via un panneau web : sélection d’un contrat, type d’action (tous les bots, ciblage par HWID, chargement de DLL), URL de payload, puis écriture on-chain. Les commandes sont confirmées sur la chaîne et diffusées aux bots en 2 à 3 minutes. Plusieurs contrats peuvent coexister (ex. « Clipper », « Get Sys Info DLL », « ps1 », « .bat », « putty.exe »), chacun lié à une adresse Polygon.

Ce modèle rend le takedown traditionnel inopérant : pas de domaine à saisir, pas de serveur central, des données immutables et répliquées sur le réseau. Qrator compare avec Glupteba (qui utilisait Bitcoin comme canal de secours) : là où Glupteba conservait une C2 principale saisissable, Aeternum fait de la blockchain son canal primaire, supprimant le « talon d’Achille » d’infrastructure. Sur le plan économique, les coûts sont minimes (≈1 $ de MATIC pour 100–150 transactions), sans besoin d’hébergement ni de DNS, et l’outil est commercialisé (licence à vie avec panel, ou code source C++ avec mises à jour).

Le loader embarque des capacités d’évasion et anti-analyse : détection d’environnements VM/sandbox pour empêcher l’exécution (et donc la visibilité dans des plateformes comme VirusTotal) et un scanner AV en amont (API Kleenscan) pour tester les builds contre 37 moteurs. Une capture montre 12/37 détections au moment T, avec certains éditeurs majeurs signalés « undetected » dans ce snapshot (ex. CrowdStrike, Avast, Avira, ClamAV).

Impact et tendances : la disponibilité « clé en main » d’un C2 sur blockchain pourrait allonger la persistance des botnets, favoriser l’accumulation de machines et alimenter des usages comme DDoS, credential stuffing, click fraud ou proxy-as-a-service. Si le C2 ne peut plus être retiré en amont, la défense se recentre sur la détection endpoint et le filtrage réseau en périphérie.

TTPs clés observés 🔍

  • C2 via smart contracts Polygon, commandes écrites on-chain, lecture via 50+ endpoints RPC avec vérification intégrée des nœuds.
  • Panneau web opérateur : commandes « all bots », ping ciblé par HWID, DLL loader; mapping de multiples contrats à des adresses Polygon (ex. .bat, ps1, putty.exe).
  • Ping envoyant une requête GET à une URL de l’opérateur, avec headers HTTP contenant l’UA et le HWID pour suivi/ciblage.
  • Anti-VM / anti-sandbox pour empêcher l’exécution en environnements d’analyse.
  • Scantime AV via API Kleenscan (37 moteurs), optimisation pré-déploiement.
  • Coûts opérationnels faibles (transactions MATIC bon marché), aucune infra centralisée, vente en licence ou code source.

Il s’agit d’une analyse de menace présentant le fonctionnement, l’originalité C2, les capacités d’évasion et les implications opérationnelles d’Aeternum C2.

🔗 Source originale : https://qrator.net/blog/details/Exploring-Aeternum-C2/