Die gesamte Steuerung von Aeternum C2 läuft über ein webbasiertes Panel. Dort wählen Kunden einen Smart Contract und einen Befehlstyp aus, geben eine Payload-URL an und können sie aktualisieren. Der Befehl – der sich an alle Endpunkte oder an ein bestimmtes Gerät richten lässt – wird als Transaktion in die Blockchain geschrieben und steht danach jedem kompromittierten Gerät zur Verfügung, das das Netzwerk abfragt.

“Sobald ein Befehl bestätigt ist, kann er von niemandem außer dem Inhaber der Wallet verändert oder entfernt werden”, erklärte Qrator Labs. Der Betreiber könne mehrere Smart Contracts gleichzeitig verwalten, von denen jeder eine andere Payload oder Funktion ausliefern könne – etwa einen Clipper, einen Stealer, einen RAT oder einen Miner.

Nach einer zweiteiligen Untersuchung von Ctrl Alt Intel ist das C2-Panel als Next.js-Webanwendung umgesetzt, über die Betreiber Smart Contracts auf der Polygon-Blockchain ausrollen können. Die Smart Contracts enthalten eine Funktion, die – wenn die Malware sie über den Polygon-RPC aufruft – den verschlüsselten Befehl zurückgibt; dieser wird anschließend dekodiert und auf den Opfersystemen ausgeführt.

Neben der Blockchain-Anbindung bringt die Schadsoftware mehrere Anti-Analyse-Funktionen mit, um die Lebensdauer der Infektionen zu verlängern. Dazu zählen Prüfungen zur Erkennung virtualisierter Umgebungen sowie die Möglichkeit für Kunden, ihre Builds über Kleenscan zu testen, um sicherzustellen, dass sie von Antiviren-Herstellern nicht erkannt werden.

Die Betriebskosten sind laut dem tschechischen Sicherheitsanbieter verschwindend gering: MATIC, der Token des Polygon-Netzwerks, im Gegenwert von einem US-Dollar reiche für 100 bis 150 Befehlstransaktionen. Der Betreiber müsse weder Server mieten noch Domains registrieren oder Infrastruktur unterhalten – nötig seien nur eine Krypto-Wallet und eine lokale Kopie des Panels.

Inzwischen hat der Akteur versucht, das gesamte Toolkit für 10.000 US-Dollar zu verkaufen, mit Verweis auf fehlende Zeit für den Support und ein anderes Projekt. “Ich verkaufe das gesamte Projekt an eine einzelne Person mit Erlaubnis zum Weiterverkauf und zur kommerziellen Nutzung, mit allen ‘Rechten’”, schrieb LenAI in einem Darknet-Forum und kündigte zudem Hinweise zur Weiterentwicklung an. LenAI steckt den Forschern zufolge auch hinter einer zweiten Crimeware-Lösung namens ErrTraffic, mit der sich ClickFix-Angriffe automatisieren lassen, indem auf kompromittierten Webseiten gefälschte Fehlfunktionen erzeugt werden, um Nutzer zu schädlichen Aktionen zu verleiten.

Parallel veröffentlichte Infrawatch Details zu einem Untergrunddienst, der eigene Laptop-Hardware in amerikanische Haushalte ausbringt, um die Geräte in ein Residential-Proxy-Netzwerk namens DSLRoot einzubinden und schädlichen Datenverkehr darüber umzuleiten. Die Hardware führt ein in Delphi geschriebenes Programm namens DSLPylon aus, das unterstützte Modems im Netzwerk auflisten und Router sowie Android-Geräte per Android Debug Bridge (ADB) fernsteuern kann.

Laut Infrawatch lässt sich der Betreiber als belarussischer Staatsbürger mit Wohnsitz in Minsk und Moskau identifizieren; DSLRoot betreibe schätzungsweise rund 300 aktive Geräte in mehr als 20 US-Bundesstaaten. Als Betreiber wurde Andrei Holas (auch Andre Holas und Andrei Golas) ausgemacht; der Dienst wurde auf BlackHatWorld von einem Nutzer unter dem Alias GlobalSolutions beworben, der physische Residential-ADSL-Proxys für 190 US-Dollar pro Monat, 990 US-Dollar für sechs Monate und 1.750 US-Dollar im Jahresabo anbot.