Sicherheitsforscher haben ein neues Botnet-Loader-System namens Aeternum C2 entdeckt, das verschlüsselte Befehle auf der Polygon-Blockchain speichert, um sich vor Takedown-Maßnahmen zu schützen. Das System macht die Command-and-Control-Infrastruktur praktisch unangreifbar.
Cybersicherheitsexperten haben Details über einen innovativen Botnet-Loader namens Aeternum C2 bekannt gemacht, der eine bahnbrechende Strategie zur Befehlsverwaltung verfolgt: Das System lagert seine Anweisungen direkt auf der öffentlichen Polygon-Blockchain aus. Das Sicherheitsunternehmen Qrator Labs erklärt in seinem Bericht: “Aeternum verzichtet bewusst auf traditionelle Server oder Domains und nutzt stattdessen die Polygon-Blockchain, um eine dauerhaft verfügbare und für klassische Abschaltungsmaßnahmen unerreichbare Infrastruktur zu schaffen.”
Die Polygon-Blockchain ist das Rückgrat zahlreicher dezentralisierter Anwendungen, darunter die weltweit führende Vorhersagemarkt-Plattform Polymarket. Dieses System ist nicht völlig neu: Bereits 2021 dokumentierte Google, wie das Botnet Glupteba ähnlich Bitcoin für sichere Command-and-Control-Verbindungen nutzte.
Die Aeternum-Geschichte begann im Dezember 2025, als das KrakenLabs-Team von Outpost24 aufdeckte, dass ein Bedrohungsakteur namens LenAI das Malware-System in Underground-Foren anbot. Für 200 Dollar erhielten potenzielle Kunden Zugriff auf ein Control-Panel und einen konfigurierten Build. Für 4.000 Dollar wurde der komplette C++-Quellcode inklusive Updates versprochen.
Die Funktionsweise des Malware-Loaders ist technisch ausgefeillt: Das als natives C++-Programm für 32-Bit und 64-Bit-Systeme verfügbare Modul schreibt Anweisungen direkt als Smart Contracts auf die Polygon-Blockchain. Die infizierte Hardware liest diese Kommandos durch Abfragen öffentlicher RPC-Endpunkte aus.
Alles wird über ein webbasiertes Next.js-Panel gesteuert, von dem aus Operatoren Smart Contracts auswählen, Befehlstypen definieren und Payload-URLs konfigurieren können. Sobald eine Transaktion bestätigt ist, wird sie permanent in der Blockchain gespeichert und kann nur vom Wallet-Inhaber modifiziert werden. Die dezentrale Natur ermöglicht es Betreibern, parallele Smart Contracts zu verwalten – für unterschiedlichste Funktionen von Clipper-Tools über Stealer bis hin zu Coin-Minern.
Cyber-Sicherheitsfirmen wie Ctrl Alt Intel zeigen auf, dass das System bemerkenswert kosteneffizient arbeitet: Gerade einmal ein Dollar in MATIC, dem nativen Token der Polygon-Netzwerk, finanziert 100 bis 150 Befehle. Infrastruktur-Kosten für Server oder Domain-Registrierungen entfallen komplett.
Der Entwickler ging noch weiter und bestückte Aeternum mit umfangreichen Anti-Analyse-Funktionen. Das System erkennt virtualisierte Umgebungen, und Kunden können ihre Builds durch Kleenscan überprüfen lassen, um sicherzustellen, dass diese von Antivirus-Programmen nicht erkannt werden.
Zuletzt versuchte LenAI, das gesamte Toolkit für 10.000 Dollar zu verkaufen – mit Begründung mangelnder Zeit für Support und anderen Projekten. “Ich werde das komplette Projekt an eine Person mit Wiederverkaufsrecht und kommerzieller Nutzung abgeben”, heißt es in einem Post im Dark Web. “Inklusive Entwicklungs-Tipps, die ich nicht implementieren konnte.”
Wie Recherchen zeigen, steckt hinter LenAI auch das Crimeware-Tool ErrTraffic, mit dem Cyberkriminelle ClickFix-Angriffe automatisieren und Nutzer durch künstliche Fehlermeldungen täuschen.
In einem verwandten Fall berichtete Infrawatch über DSLRoot, einen unterirdischen Service, der spezialisierte Laptop-Hardware in amerikanische Privathaushalte installiert, um diese als Residential-Proxy-Netzwerk zu missbrauchen. Die Hardware lädt ein Delphi-basiertes Programm namens DSLPylon, das Modems steuert und sogar Android-Geräte via Android Debug Bridge kontrolliert.
Die Forensik deutet auf einen belarussischen Betreiber hin, der in Minsk und Moskau wohnt. Etwa 300 aktive Hardware-Geräte sind über 20 US-Bundesstaaten verteilt. Der Betreiber Andrei Holas bewirbt den Service als “GlobalSolutions” im BlackHatWorld-Forum – physische ADSL-Proxys für 190 Dollar monatlich oder 990 Dollar für sechs Monate. Das System funktioniert ohne Authentifizierung und erlaubt es Kunden, Datenverkehr anonym durch US-Wohnraum-IP-Adressen zu leiten, während Router und Android-Geräte ferngesteuert werden.
Quelle: The Hacker News