La guerre entre ceux qui créent des logiciels malveillants et ceux qui essaient de l'arrêter n'arrête pas de muter, et la dernière tendance est ingénieuse et, en même temps, profondément inquiétante: certains opérateurs profitent de la nature publique et décentralisée des chaînes de blocs pour cacher le centre de commande de leurs botnets. Un exemple récent et éclairant est le chargeur connu sous le nom d'Aeternum C2, qui place les commandes dans le chaîne de verrouillage Polygon et force les machines engagées à les lire via des points d'accès RPC publics.
Les chercheurs en sécurité qui ont analysé Aeternum expliquent qu'au lieu de s'appuyer sur des serveurs ou des domaines traditionnels que les autorités ou les fournisseurs peuvent retirer, les logiciels malveillants écrit les instructions directement comme des transactions aux contrats intelligents sur le réseau Polygon. Comme les informations enregistrées dans un livre public et distribuées, ces commandes deviennent pratiquement immuables et accessibles à tout appareil qui consulte le réseau, ce qui complique considérablement les interruptions conventionnelles. Un rapport technique partagé par Qrator Labs offre une première radiographie de cette technique : Qurator Labs - Explorer Aeternum C2.
L'architecture Aeternum combine plusieurs éléments : un chargeur Natif C + + disponible pour les architectures x86 et x64 ; une interface web où l'opérateur déploie des contrats, sélectionne les types de commande et publie l'URL de charge utile ; et enfin, le mécanisme par lequel le code malveillant invoque une fonction de contrat via le RPC Polygon, reçoit une réponse chiffrée et l'exécute sur la machine victime. Une analyse détaillée Ctrl Alt Intel et sa deuxième livraison ( Deuxième partie) décrit comment le panel - implémenté comme une application Next.js - automatise le déploiement et la gestion de ces contrats, permettant à plusieurs contrats de fonctionner avec différentes fonctions selon l'objectif: des voleurs de données aux mineurs d'accès à distance ou Trojans.
Le coût opérationnel de cette approche est étonnamment faible. Selon l'analyse, avec une petite fraction de MATIC - la pièce Polygon - un attaquant peut publier des dizaines ou des centaines de commandes, ce qui élimine la nécessité de maintenir des serveurs, d'enregistrer des domaines ou de louer des infrastructures traditionnelles. Cette économie rend l'infrastructure de commandement économique et, en même temps, très résistante aux mesures de blocage habituelles.
Ce n'est pas la première fois que les criminels ont recours à une chaîne de blocs pour soutenir leur infrastructure. Les cas précédents ont montré comment certaines familles de logiciels malveillants utilisent les blockchains publiques comme réservation ou sauvegarde pour stocker des informations de contrôle, et les experts soulignent que l'intégration de contrats intelligents avec des logiciels malveillants est une évolution logique mais dangereuse. Dans le cas d'Aeternum, des mesures ont également été identifiées pour rendre l'analyse médico-légale difficile: contrôles d'environnements virtualisés, outils pour vérifier que les binaires ne sont pas détectés par les antivirus et les utilitaires pour passer le code par des scanners d'évasion tels que Kleenscan.
L'offre commerciale de la trousse a également attiré l'attention des chercheurs. En décembre 2025, des rapports et des publications ont été publiés dans des forums clandestins où un vendeur sous le pseudonyme LenAI offrait des bâtiments à des prix relativement bas et, pour des montants plus importants, l'ensemble du code source et le comité d'administration. Outpos24 - par son équipe KrakenLabs - a rapporté des signes de cette activité sur les réseaux sociaux et les forums: KrakenLabs - annonce initiale et plus tard la tentative de vente complète du projet pour un prix plus élevé: KrakenLabs - offre à vendre.
Ce phénomène n'est pas isolé : parallèlement à Aeternum, d'autres services et modèles de monétisation de la criminalité sont apparus. Un exemple est DSLRoot, décrit par la firme Infrawatch comme une offre souterraine qui installe du matériel dédié dans les maisons américaines afin de convertir ces équipements en proxies résidentielles. La recherche suggère que le service intègre des logiciels capables de gérer à distance des modems de marque communs et des appareils Android via ADB, offrant la rotation IP et la connectivité anonyme en échange d'abonnements. Dans son rapport, Infrawatch documente les techniques, les estimations de la portée et les traces d'attribution : Infrawatch - recherche DSLRoot.
Les implications sont multiples. Pour les défenseurs, faire face à un C2 vivant dans une chaîne publique de verrouillage nécessite de penser à de nouveaux vecteurs de détection et d'atténuation: surveillance des transactions et contrats suspects, analyse des adresses des panneaux publicitaires qui publient des charges utiles, identification et blocage des URL utilisées comme sources de charge utile, et collaboration avec les fournisseurs d'infrastructure de la chaîne de blocs pour suspendre les services auxiliaires lorsque possible. Polygon, en tant que réseau public, tient des documents qui aident à comprendre le fonctionnement de votre CPR et de vos nœuds, ainsi que des renseignements utiles pour les professionnels qui veulent suivre ou atténuer les abus : Polygone - documentation réseau.
Sur le plan pratique et pour les utilisateurs et les responsables de la sécurité, les recommandations classiques demeurent valables et deviennent plus importantes : maintien des systèmes et des applications, limitation de l'exécution de binaires non vérifiés, application de la segmentation du réseau, utilisation de solutions de détection des paramètres qui identifient les comportements anormaux (téléchargements inhabituels, exécution de programmes depuis des itinéraires horaires, processus qui effectuent des consultations RPC vers des services externes) et formation des personnes à ne pas exécuter des instructions qui atteignent par des vecteurs d'ingénierie sociale. En outre, les équipes d'intervention devraient combiner l'analyse médico-légale traditionnelle avec le renseignement de la chaîne de blocs, en collaboration avec la communauté de la sécurité et, le cas échéant, avec les autorités et les plates-formes pour essayer de couper la chaîne de financement ou la capacité opérationnelle des agresseurs.
L'émergence d'outils commerciaux et d'infrastructures hybrides - comme ceux offerts par Aeternum ou DSLRoot - souligne que la professionnalisation de la cybercriminalité continue de progresser. Les attaquants recherchent des modèles économiques, évolutifs et perturbateurs. Face à cela, la défense doit évoluer en intégrant la capacité d'analyse de la chaîne de blocs, le renseignement de menace et les contrôles de sécurité traditionnels. Les rapports techniques de Qrator Labs et de Ctrl Alt Intel, ainsi que les recherches d'Infrawatch sur les proxies résidentielles, sont recommandés pour ceux qui ont besoin de comprendre le détail technique et le contexte opérationnel de ces nouvelles menaces: Laboratoires Qrator, Ctrl Alt Intel - Partie 1, Ctrl Alt Intel - Partie 2 et Infrawatch - DSLRoot.
Bref, nous en sommes à un stade où la décentralisation qui apporte de la valeur à de nombreuses applications légitimes peut également être exploitée par des acteurs malveillants. Comprendre ces abus et adapter à la fois la surveillance et les mesures défensives sera essentiel pour ne pas laisser de telles tactiques devenir une norme.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...