A guerra entre aqueles que criam malware e aqueles que tentam refrear não para mutar, e a última tendência é engenhosa e, ao mesmo tempo, profundamente preocupante: alguns operadores estão aproveitando a natureza pública e descentralizada das cadeias de blocos para esconder o centro de comando de seus botnets. Um exemplo recente e esclarecedor é o carregador conhecido como Aeternum C2, que coloca as ordens na blockchain da Polygon e obriga as máquinas comprometidas a lê-las via pontos de acesso RPC públicos.
Pesquisadores em segurança que analisaram Aeternum explicam que, em vez de depender de servidores tradicionais ou domínios que as autoridades ou os fornecedores podem retirar, o malware escreve as instruções diretamente como transações para contratos inteligentes na rede Polygon. Ao ser informação registrada em um livro público e distribuído, essas ordens tornam-se praticamente imutávels e acessíveis para qualquer dispositivo que consulte a rede, o que complica enormemente as tentativas de interrupção convencionais. Um relatório técnico compartilhado por Qrator Labs oferece uma primeira radiografia desta técnica: Qurator Labs — Exploring Aeternum C2.
A arquitetura de Aeternum combina várias peças: um carregador nativo em C++ disponível para arquiteturas x86 e x64; uma interface web onde o operador exibe contratos, selecione tipos de comando e publica o URL do payload; e, finalmente, o mecanismo pelo qual o código malicioso invoca uma função do contrato através do RPC da Polygon, recebe uma resposta cifrada e executa na máquina vítima. Uma análise detalhada por parte de Ctrl Alt Intel e sua segunda entrega ( Parte 2) descreve como o painel —implementado como uma aplicação Next.js — automatiza a implantação e a gestão desses contratos, permitindo operar múltiplos contratos com funções distintas segundo o objetivo: desde ladrões de dados até mineiros ou troianos de acesso remoto.
O custo operacional desta abordagem é surpreendentemente baixo. Segundo as análises, com uma pequena fração de MATIC — a moeda de Polygon — um atacante pode publicar dezenas ou centenas de comandos, o que elimina a necessidade de manter servidores, registrar domínios ou alugar infra-estruturas tradicionais. Essa economia faz com que a infraestrutura de comando seja econômica e, ao mesmo tempo, muito resistente frente às medidas habituais de bloqueio.
Não é a primeira vez que os criminosos recorrem a uma cadeia de blocos para apontar a sua infraestrutura. Casos prévios têm mostrado como algumas famílias de malware usam blockchains públicas como reserva ou respaldo para armazenar informações de controle, e os especialistas apontam que a integração de contratos inteligentes com malware é uma evolução lógica, mas perigosa. No caso de Aeternum, foram detectadas medidas para dificultar a análise forense: verificações de ambientes virtualizados, ferramentas para verificar que os binários não são detectados por antivírus e utilitários para passar o código por scanners de evasão como Kleenscan.
A oferta comercial do kit também chamou a atenção dos pesquisadores. Em dezembro de 2025 surgiram relatos e publicações em fóruns clandestinos, nos quais um vendedor baixo o alias LenAI oferecia builds por preços relativamente baixos e, por somas maiores, a totalidade do código fonte e o painel de administração. Outpost24 —mediante sua equipe KrakenLabs — divulgou indícios dessa atividade em redes sociais e fóruns: KrakenLabs — aviso inicial Mais tarde, a tentativa de venda completa do projeto por um preço superior: KrakenLabs — oferta de venda.
Este fenômeno não aparece isolado: em paralelo a Aeternum emergiram outros serviços e modelos de monetização do crime. Um exemplo ilustrativo é DSLRoot, descrito pela assinatura Infrawatch como uma oferta underground que instala hardware dedicado em casas americanas para converter esses equipamentos em proxies residenciais. A pesquisa sugere que o serviço integra software capaz de gerenciar remotamente modems de marcas comuns e dispositivos Android mediante ADB, oferecendo rotação de IPs e conectividade anônima em troca de assinaturas. Infrawatch documenta técnicas, estimativas de alcance e traços de atribuição no seu relatório: Infrawatch — investigação DSLRoot.
As implicações são múltiplas. Para os defensores, enfrentar um C2 que reside em uma blockchain pública obriga a pensar em novos vectores de detecção e mitigação: monitoramento de transações e contratos suspeitos, análise de endereços de carteiras que publicam payloads, identificação e bloqueio de URLs usados como fontes de carga útil, e colaboração com provedores de infraestrutura blockchain para suspender serviços auxiliares quando possível. Polygon, como rede pública, mantém documentação que ajuda a compreender como funcionam as suas RPC e nodos, informações úteis para profissionais que queiram rastrear ou mitigar abusos: Polygon — Documentação de rede.
No plano prático e para os utilizadores e responsáveis pela segurança, as recomendações clássicas permanecem válidas e assumem maior importância: manter sistemas e aplicações adesivos, restringir a execução de binários não verificados, aplicar segmentação de rede, usar soluções de detecção endpoint que identifiquem comportamentos anormais (descargas invulgares, execução de programas a partir de rotas temporárias, processos que realizam consultas RPC a serviços externos) e formar pessoas para que não executem instruções que cheguem através de vetores de engenharia social. Além disso, as equipes de resposta devem combinar análises forenses tradicionais com inteligência em blockchain, colaborando com a comunidade de segurança e, quando apropriado, com autoridades e plataformas para tentar cortar a cadeia de financiamento ou a capacidade operacional dos atacantes.
O aparecimento de ferramentas comerciais e de infra-estruturas híbridas — como as que oferecem Aeternum ou DSLRoot — sublinha que a profissionalização do cibercrime continua a progredir. Os atacantes procuram modelos rentáveis, escalável e resistentes à interrupção. Diante disso, a defesa tem que evoluir integrando capacidades de análise de cadeias de blocos, inteligência de ameaças e controles de segurança tradicionais. Os relatórios técnicos de Qrator Labs e Ctrl Alt Intel, juntamente com a pesquisa de Infrawatch sobre proxies residenciais, são leituras recomendadas para aqueles que precisam compreender o detalhe técnico e o contexto operacional destas novas ameaças: Qrator Labs, Ctrl Alt Intel — Parte 1, Ctrl Alt Intel — Parte 2 e Infrawatch — DSLRoot.
Em suma, estamos diante de uma fase em que a descentralização que traz valor a muitas aplicações legítimas também pode ser explorada por atores maliciosos. Compreender esses abusos e adaptar tanto a vigilância como as medidas defensivas será fundamental para não deixar que este tipo de táticas se torne norma.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...