Ya no se necesitan servidores: cibercriminales descubren cómo crear un "virus eterno" por una miseria
Todo intento por impedir el trabajo no hace más que confirmar la solidez del sistema.
La empresa Qrator Labs informó sobre la aparición de una nueva botnet Aeternum C2, que traslada el control de los dispositivos infectados a una cadena de bloques pública y con ello priva a los defensores de un punto de presión habitual. Si antes las fuerzas del orden y las empresas de seguridad informática desactivaban redes como Emotet, TrickBot y QakBot retirando los servidores de mando o bloqueando dominios, en este caso la infraestructura centralizada simplemente no existe.
El equipo de Qrator Labs descubrió un cargador en C++, disponible en versiones x32 y x64. Aeternum escribe las órdenes para las máquinas infectadas en los contratos inteligentes de la red Polygon. Los dispositivos obtienen las instrucciones consultando nodos RPC públicos. El operador controla el proceso a través de un panel web: selecciona el contrato, el tipo de orden, indica el enlace de la carga útil y publica la transacción. Tras la confirmación en la red, la entrada queda disponible para todos los bots. Según los autores del informe, la actualización llega a las máquinas activas en cuestión de minutos.
Cada contrato inteligente puede atender una función distinta: desde el robo de datos y el acceso remoto hasta la minería. El panel permite gestionar varios contratos a la vez. Para rastrear los dispositivos infectados, el operador envía un comando ping, tras lo cual el bot realiza una solicitud HTTP con el identificador del equipo y otros parámetros técnicos. Ese mecanismo ayuda a filtrar máquinas concretas y a evaluar la escala de la red.
La principal diferencia de Aeternum respecto a los esquemas clásicos de mando es la completa renuncia a servidores y dominios. Los datos se almacenan en la red distribuida de nodos de Polygon y son accesibles a través de decenas de puntos de acceso públicos. No es posible eliminar un “centro” de control, ya que el centro no existe como entidad. En Qrator Labs recordaron el caso de Glupteba, que Google neutralizó parcialmente en 2021 al desconectar servidores y dominios. Entonces los atacantes usaron la cadena de bloques de Bitcoin como canal de reserva. Aeternum emplea la cadena de bloques directamente como mecanismo principal y único.
La economía del esquema hace barato el lanzamiento de una botnet resistente. Los desarrolladores venden o bien una licencia de por vida con una compilación lista, o bien el código fuente en C++ con actualizaciones. Para publicar cien comandos basta aproximadamente un dólar en tokens MATIC. No se requieren gastos por alquiler de servidores ni por registro de dominios: basta una cartera de criptomonedas y un panel de control.
El cargador también incluye mecanismos para evadir el análisis. La protección integrada contra entornos virtuales impide la ejecución en sandboxes que usan las empresas antivirus. Además, el vendedor ofrece la verificación de las compilaciones mediante la API de Kleenscan con una evaluación de detección por decenas de motores. En los ejemplos publicados, algunos grandes proveedores no detectaron la amenaza en el momento de las pruebas.
Según Qrator Labs, incluso si una versión concreta de Aeternum no llega a difundirse masivamente, el propio modelo de mando a través de la cadena de bloques ya se ha convertido en un producto listo en el mercado clandestino. Ese enfoque complica las operaciones tradicionales para desconectar la infraestructura y aumenta los riesgos de ataques DDoS a gran escala, robo de credenciales y otros abusos. En un escenario en el que es imposible cortar el canal de control, la defensa se desplaza hacia la filtración del tráfico y la detección de dispositivos infectados en la red y en los puntos finales.