Die Verwaltung des Botnetzes erfolgt laut Qrator Labs über ein webbasiertes Panel. Darüber kann der Betreiber die verfügbaren Smart Contracts mit neuen Befehlen und Payloads aktualisieren. Die Kommandos erreichen die Bots demnach innerhalb weniger Augenblicke: Um sie abzurufen, fragen die Bots öffentliche RPC-Endpunkte ab und lesen die hinterlegten Smart Contracts aus.

Aeternum enthält zudem einen Virenscanner, mit dem Betreiber ihre Builds über die Kleenscan-API gegen 37 Antiviren-Engines prüfen können, wie Qrator Labs erläutert.

Das eigentliche Verkaufsargument ist jedoch die Nutzung der Polygon-Blockchain für die C&C-Kommunikation. Nach Einschätzung von Qrator Labs macht dieser Ansatz die Infrastruktur von Aeternum dauerhaft und erhöht ihre Widerstandsfähigkeit gegen Abschaltungen. Die Polygon-Blockchain wird von zahlreichen dezentralen Anwendungen genutzt, darunter dem nach eigenen Angaben weltweit größten Prognosemarkt Polymarket; ihr Einsatz verursacht für die Betreiber von Aeternum nahezu keine Kosten.

“Die Betriebskosten sind verschwindend gering: MATIC, der native Token des Polygon-Netzwerks, im Wert von einem US-Dollar reicht für 100 bis 150 Befehlstransaktionen. Der Betreiber muss keine Server mieten, keine Domains registrieren und keine Infrastruktur unterhalten – abgesehen von einer Krypto-Wallet und einer lokalen Kopie des Panels”, so Qrator Labs.

Welche Risiken die Nutzung dezentraler Netzwerke durch Botnetze birgt, verdeutlicht Qrator Labs am Beispiel des Botnetzes Glupteba: Es war im Dezember 2021 Ziel einer Abschaltaktion, blieb aber aktiv und tauchte wieder auf, weil es die Bitcoin-Blockchain als zusätzlichen C&C-Kanal nutzte.

“Unabhängig davon, ob sich Aeternum selbst weit verbreitet, ist blockchainbasierte Command-and-Control nun ein schlüsselfertiges Produkt auf dem Untergrundmarkt. Das Modell ist tragfähig, und andere Malware-Entwickler werden darauf aufbauen”, schreibt Qrator Labs.