文章总结： 文档披露了名为AeternumC2的新型僵尸网络加载器，其核心创新在于利用Polygon区块链存储加密指令作为命令与控制（C2）基础设施，使传统打击手段难以清除。该恶意软件通过智能合约和公共RPC端点分发指令，支持多种恶意载荷，并集成了反分析功能。运营成本极低，且在地下论坛以200至1万美元的价格出售。报告同时提及了另一关联的住宅代理网络服务DSLRoot。 综合评分： 78 文章分类： 恶意软件,僵尸网络,区块链安全,威胁情报,渗透测试

Aeternum C2 僵尸网络将加密指令存储在 Polygon 区块链上，以逃避打击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月27日 09:00 北京

网络安全研究人员披露了一种名为Aeternum C2的新型僵尸网络加载器的细节，该加载器使用基于区块链的命令与控制 (C2) 基础设施，使其能够抵御打击行动。

Qrator Labs在一份与 The Hacker News 分享的报告中表示： “Aeternum 不依赖传统的服务器或域进行命令和控制，而是将其指令存储在公共的 Polygon 区块链上。”

“该网络被包括全球最大的预测市场 Polymarket 在内的众多去中心化应用程序广泛使用。这种方法使得 Aeternum 的 C2 基础设施能够有效地永久运行，并能抵御传统的关闭方法。”

这并非首次发现僵尸网络依赖区块链进行 C2 通信。2021 年，谷歌表示已采取措施破坏名为Glupteba 的僵尸网络，该僵尸网络使用比特币区块链作为备用 C2 机制来获取实际的 C2 服务器地址。

Aeternum C2 的详细信息最早于 2025 年 12 月曝光。当时，Outpost24 旗下的 KrakenLabs披露，一个名为 LenAI 的威胁行为者在地下论坛上以 200 美元的价格出售该恶意软件，售价 200 美元，可让客户访问一个控制面板和一个已配置好的版本。据称，如果客户支付 4000 美元，则可获得完整的 C++ 代码库以及后续更新。

该恶意软件提供原生 C++ 加载器，支持 x32 和 x64 版本。其工作原理是将指令写入 Polygon 区块链上的智能合约，然后通过查询公共远程过程调用 (RPC) 端点来读取这些指令。

所有这些操作都通过基于 Web 的控制面板进行管理。客户可以从中选择智能合约、命令类型、指定有效载荷 URL 并进行更新。该命令可以针对所有端点或特定端点，并以交易的形式写入区块链，之后，任何正在轮询网络的受感染设备都可以访问该命令。

Qrator Labs表示：“一旦指令被确认，除了钱包持有者之外，任何人都无法更改或删除该指令。操作员可以同时管理多个智能合约，每个合约都可能承载不同的有效载荷或功能，例如剪币器、窃取器、远程访问木马或挖矿程序。”

根据Ctrl Alt Intel本月初发布的两部分研究报告，C2 控制面板以 Next.js Web 应用程序的形式实现，允许攻击者将智能合约部署到 Polygon 区块链上。这些智能合约包含一个函数，当恶意软件通过 Polygon RPC 调用该函数时，会返回加密命令，该命令随后会被解码并在受害者机器上执行。

除了利用区块链技术构建难以被清除的僵尸网络外，该恶意软件还集成了多种反分析功能，以延长感染的持续时间。这些功能包括检测虚拟化环境，并允许用户通过Kleenscan扫描其构建版本，以确保不会被杀毒软件厂商标记为恶意软件。

这家捷克网络安全厂商表示：“运营成本微乎其微：价值 1 美元的 MATIC（Polygon 网络的原生代币）就足以进行 100 到 150 次指令交易。运营商无需租用服务器、注册域名，也无需维护除加密钱包和本地控制面板副本之外的任何基础设施。”

该威胁行为者随后试图以 1 万美元的价格出售整套工具包，声称自己无暇提供支持，并且正在参与另一个项目。LenAI 表示：“我会将整个项目出售给一个人，并授予其转售和商业用途的许可，以及所有‘权利’。我还会提供一些我没有时间实现的开发方面的实用技巧/笔记。”

值得注意的是，LenAI 还开发了另一款名为ErrTraffic的犯罪软件解决方案，该方案能够通过在被入侵的网站上生成虚假故障来自动执行 ClickFix 攻击，从而制造一种虚假的紧迫感，并欺骗用户按照恶意指示操作。

就在 Infrawatch 公布一项地下服务的详细信息之际，这一披露也随之而来。该服务将专用笔记本电脑硬件部署到美国家庭中，以将这些设备纳入名为 DSLRoot 的住宅代理网络，该网络通过这些设备重定向恶意流量。

该硬件设计用于运行名为 DSLPylon 的基于 Delphi 的程序，该程序具备枚举网络上受支持的调制解调器的功能，以及通过 Android 调试桥 ( ADB ) 集成远程控制住宅网络设备和 Android 设备的功能。

Infrawatch表示： “归因分析显示，该运营商是一名白俄罗斯公民，在明斯克和莫斯科有住所。据估计，DSLRoot在美国20多个州运营着大约300台活跃的硬件设备。”

该运营商已被确认为 Andrei Holas（又名 Andre Holas 和 Andrei Golas），其服务由一位化名为 GlobalSolutions 的用户在 BlackHatWorld 上推广，声称提供实体住宅 ADSL 代理服务器，每月售价 190 美元，可享受无限制访问。此外，还提供 6 个月 990 美元和 1750 美元的年度订阅服务。

该公司指出：“DSLRoot的定制软件可通过ADB对消费级调制解调器（ARRIS/Motorola、Belkin、D-Link、ASUS）和安卓设备进行自动化远程管理，实现IP地址轮换和连接控制。该网络无需身份验证即可运行，允许客户端通过美国住宅IP匿名路由流量。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Aeternum C2 僵尸网络将加密指令存储在 Polygon 区块链上，以逃避打击》