La guerra entre quienes crean malware y quienes tratan de frenarlo no para de mutar, y la última tendencia es ingeniosa y, a la vez, profundamente preocupante: algunos operadores están aprovechando la naturaleza pública y descentralizada de las cadenas de bloques para ocultar el centro de mando de sus botnets. Un ejemplo reciente y esclarecedor es el cargador conocido como Aeternum C2, que coloca las órdenes en la blockchain de Polygon y obliga a las máquinas comprometidas a leerlas vía puntos de acceso RPC públicos.
Investigadores en seguridad que han analizado Aeternum explican que, en lugar de depender de servidores tradicionales o dominios que las autoridades o los proveedores pueden retirar, el malware escribe las instrucciones directamente como transacciones hacia contratos inteligentes en la red Polygon. Al ser información registrada en un libro público y distribuido, esas órdenes se vuelven prácticamente inmutables y accesibles para cualquier dispositivo que consulte la red, lo que complica enormemente los intentos de interrupción convencionales. Un reporte técnico compartido por Qrator Labs ofrece una primera radiografía de esta técnica: Qurator Labs — Exploring Aeternum C2.
La arquitectura de Aeternum combina varias piezas: un cargador nativo en C++ disponible para arquitecturas x86 y x64; una interfaz web donde el operador despliega contratos, selecciona tipos de comando y publica la URL del payload; y, finalmente, el mecanismo por el que el código malicioso invoca una función del contrato a través del RPC de Polygon, recibe una respuesta cifrada y la ejecuta en la máquina víctima. Un análisis detallado por parte de Ctrl Alt Intel y su segunda entrega (parte 2) describe cómo el panel —implementado como una aplicación Next.js— automatiza el despliegue y la gestión de esos contratos, permitiendo operar múltiples contratos con funciones distintas según el objetivo: desde ladrones de datos hasta mineros o troyanos de acceso remoto.
El coste operativo de este enfoque es sorprendentemente bajo. Según los análisis, con una pequeña fracción de MATIC —la moneda de Polygon— un atacante puede publicar decenas o cientos de comandos, lo que elimina la necesidad de mantener servidores, registrar dominios o alquilar infraestructura tradicional. Esa economía hace que la infraestructura de comando sea económica y, al mismo tiempo, muy resistente frente a las medidas habituales de bloqueo.
No es la primera vez que los delincuentes recurren a una cadena de bloques para apuntalar su infraestructura. Casos previos han mostrado cómo algunas familias de malware usan blockchains públicas como reserva o respaldo para almacenar información de control, y los expertos apuntan que la integración de contratos inteligentes con malware es una evolución lógica pero peligrosa. En el caso de Aeternum, se detectaron además medidas para dificultar el análisis forense: comprobaciones de entornos virtualizados, herramientas para verificar que los binarios no sean detectados por antivirus y utilidades para pasar el código por scanners de evasión como Kleenscan.
La oferta comercial del kit también llamó la atención de los investigadores. En diciembre de 2025 surgieron informes y publicaciones en foros clandestinos en los que un vendedor bajo el alias LenAI ofrecía builds por precios relativamente bajos y, por sumas mayores, la totalidad del código fuente y el panel de administración. Outpost24 —mediante su equipo KrakenLabs— divulgó indicios de esa actividad en redes sociales y foros: KrakenLabs — anuncio inicial y más tarde la tentativa de venta completa del proyecto por un precio superior: KrakenLabs — oferta de venta.
Este fenómeno no aparece aislado: en paralelo a Aeternum han emergido otros servicios y modelos de monetización del delito. Un ejemplo ilustrativo es DSLRoot, descrito por la firma Infrawatch como una oferta underground que instala hardware dedicado en hogares estadounidenses con el fin de convertir esos equipos en proxies residenciales. La investigación sugiere que el servicio integra software capaz de gestionar remotamente modems de marcas comunes y dispositivos Android mediante ADB, ofreciendo rotación de IPs y conectividad anónima a cambio de suscripciones. Infrawatch documenta técnicas, estimaciones de alcance y trazas de atribución en su informe: Infrawatch — investigación DSLRoot.
Las implicaciones son múltiples. Para los defensores, enfrentarse a un C2 que reside en una blockchain pública obliga a pensar en nuevos vectores de detección y mitigación: la monitorización de transacciones y contratos sospechosos, el análisis de direcciones de billeteras que publican payloads, la identificación y bloqueo de URLs usadas como fuentes de carga útil, y la colaboración con proveedores de infraestructura blockchain para suspender servicios auxiliares cuando sea posible. Polygon, como red pública, mantiene documentación que ayuda a comprender cómo funcionan sus RPC y nodos, información útil para profesionales que quieran rastrear o mitigar abusos: Polygon — documentación de red.
En el plano práctico y para usuarios y responsables de seguridad, las recomendaciones clásicas siguen siendo válidas y adquieren más importancia: mantener sistemas y aplicaciones parcheados, restringir la ejecución de binarios no verificados, aplicar segmentación de red, usar soluciones de detección endpoint que identifiquen comportamientos anómalos (descargas inusuales, ejecución de programas desde rutas temporales, procesos que realizan consultas RPC a servicios externos) y formar a las personas para que no ejecuten instrucciones que lleguen a través de vectores de ingeniería social. Además, los equipos de respuesta deben combinar análisis forense tradicional con inteligencia en blockchain, colaborando con la comunidad de seguridad y, cuando corresponda, con autoridades y plataformas para intentar cortar la cadena de financiación o la capacidad operativa de los atacantes.
La aparición de herramientas comerciales y de infraestructuras híbridas —como las que ofrecen Aeternum o DSLRoot— subraya que la profesionalización del cibercrimen continúa avanzando. Los atacantes buscan modelos rentables, escalables y resistentes a la interrupción. Frente a eso, la defensa tiene que evolucionar integrando capacidades de análisis de cadenas de bloques, inteligencia de amenazas y controles de seguridad tradicionales. Los informes técnicos de Qrator Labs y Ctrl Alt Intel, junto con la investigación de Infrawatch sobre proxies residenciales, son lecturas recomendables para quienes necesitan comprender el detalle técnico y el contexto operativo de estas nuevas amenazas: Qrator Labs, Ctrl Alt Intel — parte 1, Ctrl Alt Intel — parte 2 y Infrawatch — DSLRoot.
En definitiva, estamos ante una fase en la que la descentralización que aporta valor a muchas aplicaciones legítimas también puede ser explotada por actores maliciosos. Comprender esos abusos y adaptar tanto la vigilancia como las medidas defensivas será clave para no dejar que este tipo de tácticas se conviertan en norma.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...