El botnet Aeternum usa la blockchain de Polygon para almacenar comandos cifrados y dificultar su derribo

Resumen del hallazgo

Investigadores en ciberseguridad han divulgado detalles sobre un nuevo loader de botnet denominado Aeternum C2 que recurre a una infraestructura de mando y control (C2) basada en blockchain para incrementar su resistencia frente a esfuerzos de desmantelamiento. Según un informe de Qrator Labs compartido con The Hacker News, en lugar de depender de servidores tradicionales o dominios, Aeternum almacena sus instrucciones en la cadena pública Polygon.

«En lugar de depender de servidores o dominios tradicionales para el mando y control, Aeternum almacena sus instrucciones en la blockchain pública Polygon.»

Cómo funciona la infraestructura C2 basada en blockchain

El enfoque de Aeternum consiste en aprovechar características propias de las cadenas públicas —inmutabilidad, disponibilidad global y resistencia a la censura— para publicar comandos cifrados dentro de transacciones o contratos. Los pasos generales que siguen este tipo de esquemas son:

• El actor malicioso publica datos (comandos cifrados, claves, indicadores) en la blockchain mediante transacciones o un contrato inteligente.
• Los binarios infectados o el loader tienen incorporados mecanismos para leer bloques o transacciones concretas (por ejemplo, consultando una dirección/contrato concreto en Polygon) y extraer la carga cifrada.
• Una vez extraído, el malware descifra las instrucciones usando claves o algoritmos incluidos en el loader y actúa según las órdenes (descarga de payloads, exfiltración, lateralidad, etc.).

Al almacenar la señal de control en una red pública, los operadores obtienen un canal de difusión que no depende de recursos que terceros puedan desconectar fácilmente (proveedores de hosting o registradores de dominios). Además, usando cifrado en la capa de datos, la carga útil publicada en la cadena es opaca para observadores sin las claves adecuadas.

Contexto y antecedentes

La evolución de las infraestructuras C2 ha sido una constante respuesta del ecosistema atacante a las contramedidas defensivas. Tradicionalmente los actores empleaban servidores dedicados y dominios; cuando esos puntos eran detectados, la comunidad de respuesta intentaba derribarlos. En respuesta, los autores migraron a técnicas más resilientes: redes Tor, arquitecturas P2P, fast-flux DNS y, en los últimos años, experimentos y observaciones que integran infraestructuras descentralizadas como blockchains públicas y sistemas de almacenamiento distribuido.

El uso de blockchains públicas para comunicaciones maliciosas no es nuevo como concepto: investigadores y pruebas de concepto han mostrado que datos pueden incrustarse en transacciones de Bitcoin (por ejemplo mediante OP_RETURN) o en contratos y datos de Ethereum. Polygon, una solución de capa 2 compatible con el ecosistema Ethereum, aporta baja latencia y costes de transacción reducidos con respecto a la mainnet, lo que la convierte en una plataforma atractiva para actores que desean publicar datos de forma persistente y barata.

Implicaciones y riesgos para defensores

El diseño arquitectónico de Aeternum plantea varios retos y riesgos operativos relevantes para equipos de respuesta y defensores:

• Imposibilidad de “derribar” la infraestructura en la blockchain: a diferencia de un servidor controlado por el atacante, no existe un único operador que se pueda obligar a desconectar para cortar el canal; las transacciones permanecen registradas y accesibles.
• Mayor persistencia y disponibilidad: mientras la red de Polygon siga operativa, las instrucciones estarán accesibles desde cualquier nodo o servicio que consulte la cadena.
• Opacidad por cifrado: el uso de cifrado en los datos on‑chain dificulta el análisis pasivo y la inteligencia en tiempo real; los defensores necesitan claves o explotación del loader para reconstruir el esquema.
• Vector de atribución y seguimiento más complejo: aunque las transacciones son públicas, la relación entre una cartera y un actor real suele requerir análisis forense y de cadena de bloques avanzados.
• Exposición de infraestructuras legítimas: el uso de redes públicas y servicios compartidos complica la aplicación de contramedidas que no afecten a terceros neutrales.

Análisis y recomendaciones operativas para practicantes

Para equipos de seguridad empresarial y de respuesta a incidentes, la aparición de Aeternum implica adaptar herramientas y procedimientos. Recomendaciones prácticas:

• Mejorar la instrumentación en endpoints: desplegar EDR/AV actualizado capaz de identificar loaders y patrones de comportamiento (consultas a APIs públicas de blockchain, uso de bibliotecas Web3/Ethereum en procesos inusuales, descargas de código tras leer datos on‑chain).
• Capturar y analizar muestras estáticas y dinámicas: obtener binarios del loader para identificar direcciones/contratos de Polygon consultados, esquemas de cifrado y rutinas de arranque. Extraer claves incrustadas, si existen, o identificar derivaciones clave.
• Monitoreo blockchain proactivo: emplear capacidades de monitorización de transacciones para las direcciones y contratos identificados; automatizar alertas cuando se publiquen nuevas transacciones que contengan cargas cifradas asociadas a IoC.
• Integrar análisis blockchain y de inteligencia: colaborar con firmas de análisis de cadenas públicas y usar herramientas de trazado para contextualizar movimientos de fondos o relación entre direcciones.
• Proteger la fase de infección inicial: muchas campañas que usan C2 on‑chain siguen necesitando mecanismos de bootstrap (descargas, documentos maliciosos, dominios de carga). Fortalecer controles de correo, navegación y detección de exploits reduce el impacto.
• Actualizar playbooks de IR y coordinación con terceros: incluir procedimientos específicos para recopilar evidencia on‑chain, preservar transacciones relevantes y coordinar con MSIs/CSIRT, reguladores y fuerzas de seguridad cuando proceda.
• Bloqueo y mitigación de indicios de compromiso: aunque no se pueda eliminar la transacción, sí es posible bloquear en la red corporativa las llamadas a las APIs públicas (por ejemplo, infura, Alchemy u otros endpoints RPC) o filtrar tráfico Web3 sospechoso, según el caso de uso y la tolerancia al riesgo.
• Preparar contención y erradicación: si se detecta compromiso, considerar medidas clásicas (aislamiento de hosts, limpieza de persistencia, rotación de credenciales) junto con análisis específico para eliminar el loader que consulta la cadena.

En investigación forense, es clave preservar tanto la evidencia host (muestras, logs, memoria) como la evidencia on‑chain (hashes de transacciones, bloques, timestamps). El cruce de ambas fuentes facilita reconstruir la cadena de acciones y, potencialmente, identificar la infraestructura de soporte del atacante.

Casos comparables y tendencias

Si bien Aeternum destaca por el uso de Polygon como canal de señales, la tendencia a emplear infraestructuras descentralizadas viene observándose desde hace años. Equipos de respuesta han rastreado evoluciones desde C2 centralizados hacia modelos más resistentes (Tor, P2P, y ocasionalmente pruebas de concepto que usan blockchains o almacenamiento distribuido). El patrón subyacente es claro: cuando una defensa mitiga un vector, los actores buscan la siguiente infraestructura que ofrezca resiliencia y bajo coste operativo.

Esto convierte a las redes públicas y a los servicios compartidos en un terreno de operación atractivo para atacantes que buscan persistencia y capacidad de reacción rápida, complicando las estrategias tradicionales de desmantelamiento.

Conclusión

Aeternum C2 es una señal más de la sofisticación creciente en la etapa de mando y control de campañas maliciosas: al apoyarse en una blockchain pública como Polygon, el loader gana persistencia y dificulta las contramedidas basadas en la desconexión de recursos. Para defensores, la solución pasa por combinar controles clásicos de higiene (detección en endpoints, reducción de la superficie de ataque) con nuevas capacidades (monitorización on‑chain, análisis criptográfico y colaboración con proveedores de blockchain analytics). La prevención y la respuesta requieren ahora igualmente la capacidad de investigar en el dominio público de la cadena y de coordinarse con actores externos para mitigar el riesgo.

Source: thehackernews.com