Der Krieg zwischen denen, die Malware erstellen und denen, die versuchen, es zu stoppen, hört nicht auf Mutation, und der neueste Trend ist genial und gleichzeitig tief beunruhigend: Einige Betreiber nutzen die öffentliche und dezentrale Natur der Blockketten, um das Kommandozentrum ihrer Botnets zu verbergen. Ein jüngstes und erleuchtendes Beispiel ist das als Aeternum C2 bekannte Ladegerät, das die Befehle in der Polygon-Schlosskette platziert und die engagierten Maschinen zwingt, diese über öffentliche RPC-Zugriffspunkte zu lesen.
Sicherheitsforscher, die Aeternum analysiert haben, erklären, dass Malware anstelle von traditionellen Servern oder Domains, die Behörden oder Lieferanten zurückziehen können, die Anweisungen direkt als Transaktionen zu Smart Contracts auf dem Polygon-Netzwerk schreibt. Als in einem öffentlichen Buch aufgezeichnete und verteilte Informationen werden diese Aufträge praktisch unveränderlich und für jedes Gerät zugänglich, das das Netzwerk konsultiert, was konventionelle Unterbrechungen stark erschwert. Ein technischer Bericht von Qrator Labs bietet eine erste Röntgenaufnahme dieser Technik: Qurator Labs - Exploring Aeternum C2.
Die Aeternum-Architektur kombiniert mehrere Stücke: ein natives C + + Ladegerät für x86- und x64-Architekturen; eine Web-Schnittstelle, an der der Bediener Verträge durchführt, Befehlstypen wählt und die Payload-URL veröffentlicht; und schließlich der Mechanismus, mit dem der bösartige Code eine Vertragsfunktion durch den Polygon RPC anruft, eine verschlüsselte Antwort erhält und auf der Opfermaschine ausführt. Eine detaillierte Analyse der CTG-Alt Intel und seine zweite Lieferung ( Teil 2) beschreibt, wie das Panel - implementiert als Next.js-Anwendung - automatisiert die Bereitstellung und Verwaltung dieser Verträge, so dass mehrere Verträge mit verschiedenen Funktionen nach dem Ziel zu bedienen: von Datenräubern zu entfernten Bergleuten oder Trojanern.
Die Betriebskosten dieses Ansatzes sind überraschend gering. Laut der Analyse, mit einem kleinen Bruchteil von MATIC - die Polygon-Münze - kann ein Angreifer zehn oder Hunderte von Befehlen veröffentlichen, die die Notwendigkeit, Server zu halten, Domains registrieren oder traditionelle Infrastruktur mieten. Diese Wirtschaft macht die Kommandoinfrastruktur wirtschaftlich und gleichzeitig sehr widerstandsfähig gegenüber den üblichen Sperrmaßnahmen.
Dies ist nicht das erste Mal, dass Kriminelle auf eine Kette von Blöcken zurückgegriffen haben, um ihre Infrastruktur zu unterstützen. Frühere Fälle haben gezeigt, wie einige Malware-Familien öffentliche Blockchains als Reservierung oder Backup verwenden, um Kontrollinformationen zu speichern, und Experten weisen darauf hin, dass die Integration von Smart Contracts mit Malware eine logische, aber gefährliche Evolution ist. Im Falle von Aeternum wurden auch Maßnahmen identifiziert, um eine forensische Analyse zu erschweren: Überprüfungen von virtualisierten Umgebungen, Werkzeuge, um zu überprüfen, ob Binäre nicht von Antiviren- und Dienstprogrammen erfasst werden, um den Code durch Evasionssscanner wie Kleen.
Das kommerzielle Angebot des Kits zog auch die Aufmerksamkeit der Forscher. Im Dezember 2025 wurden Berichte und Veröffentlichungen in geheimen Foren veröffentlicht, in denen ein Verkäufer unter dem Alias LenAI Bauten zu relativ niedrigen Preisen und für größere Mengen den gesamten Quellcode und das Verwaltungspanel anbietet. Outpos24 - durch sein Team KrakenLabs - berichtete Zeichen dieser Aktivität in sozialen Netzwerken und Foren: KrakenLabs - erste Ankündigung und später der vollständige Verkaufsversuch des Projekts für einen höheren Preis: KrakenLabs - Angebot zum Verkauf.
Dieses Phänomen ist nicht isoliert: Parallel zu Aeternum sind weitere Dienste und Modelle der Monetarisierung von Verbrechen entstanden. Ein beispielhaftes Beispiel ist DSLRoot, beschrieben von der Firma Infrawatch als unterirdisches Angebot, das dedizierte Hardware in amerikanischen Häusern installiert, um diese Ausrüstung in Wohn-Proxies umzuwandeln. Die Forschung legt nahe, dass der Dienst Software integriert, die in der Lage ist, gemeinsame Markenmodems und Android-Geräte über ADB zu verwalten, bietet IP-Drehung und anonyme Konnektivität im Austausch für Abonnements. Infrawatch-Dokumente Techniken, Umfangschätzungen und Zuteilungsspuren in seinem Bericht: Infrawatch - DSLRoot-Forschung.
Die Implikationen sind mehrfach. Für Verteidiger, denen ein in einer öffentlichen Schlosskette lebendes C2 gegenübersteht, müssen neue Erkennungs- und Minderungsvektoren nachgedacht werden: Überwachung verdächtiger Transaktionen und Verträge, Analyse von Adressen von Plakatwänden, die Nutzlasten veröffentlichen, Identifizierung und Sperrung von URLs, die als Nutzlastquellen verwendet werden, und Zusammenarbeit mit Blockchain-Infrastrukturanbietern, um gegebenenfalls Nebendienstleistungen auszusetzen. Polygon, als öffentliches Netzwerk, hält Dokumentation, die hilft verstehen, wie Ihre RPC und Knoten funktionieren, nützliche Informationen für Profis, die Missbräuche verfolgen oder mindern möchten: Polygon - Netzwerkdokumentation.
Auf der praktischen Ebene und für Benutzer und Sicherheitsbeamte bleiben die klassischen Empfehlungen gültig und werden wichtiger: Aufrechterhaltung von Systemen und Anwendungen, Einschränkung der Ausführung von nicht verifizierten Binaries, Anwendung von Netzwerksegmentierung, Verwendung von Endpoint-Detektionslösungen, die anormale Verhaltensweisen identifizieren (ungewöhnliche Downloads, Durchführung von Programmen von Zeitrouten, Prozesse, die RPC-Beratungen zu externen Diensten durchführen) und Schulungen Menschen nicht, um Anweisungen, die durch Social Engineering-Ve erreichen. Darüber hinaus sollten die Antwortteams traditionelle forensische Analyse mit Blockchain-Intelligenz kombinieren, mit der Sicherheitsgemeinschaft zusammenarbeiten und gegebenenfalls mit Behörden und Plattformen versuchen, die Finanzierungskette oder die operative Kapazität der Angreifer zu reduzieren.
Die Entstehung von kommerziellen Werkzeugen und hybriden Infrastrukturen - wie die von Aeternum oder DSLRoot angeboten - unterstreicht, dass die Professionalisierung von Cyberkriminalität weiter vorangeht. Die Angreifer suchen nach kostengünstigen, skalierbaren und störenden Modellen. Angesichts dessen muss sich die Verteidigung weiterentwickeln, indem Kapazitäten für Blockkettenanalysen, Bedrohungsinformationen und traditionelle Sicherheitskontrollen integriert werden. Die technischen Berichte von Qrator Labs und Ctrl Alt Intel, zusammen mit Infrawatchs Forschung über Wohn-Proxies, werden empfohlen, Lesungen für diejenigen, die das technische Detail und den operativen Kontext dieser neuen Bedrohungen verstehen müssen: Qrator Labs, Ctrl Alt Intel - Teil 1, Ctrl Alt Intel - Teil 2 und Infrawatch - DSLRoot.
Kurz gesagt, wir befinden uns in einer Phase, in der die Dezentralisierung, die Wert auf viele legitime Anwendungen bringt, auch von schädlichen Akteuren ausgenutzt werden kann. Das Verständnis dieser Missbräuche und die Anpassung der Überwachungs- und Verteidigungsmaßnahmen wird der Schlüssel sein, um diese Taktik nicht zu einem Standard werden zu lassen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...