网络安全研究人员近日披露了一个名为Aeternum C2的新型僵尸网络加载器详情，该恶意软件采用基于区块链的命令和控制基础设施，使其能够抵御传统的打击措施。

"Aeternum不依赖传统服务器或域名进行命令控制，而是将指令存储在公共Polygon区块链上，"Qrator Labs在与The Hacker News分享的报告中表示。"这一网络被去中心化应用广泛使用，包括全球最大的预测市场Polymarket。这种方法使Aeternum的C2基础设施实际上变得永久存在且能抵御传统打击方法。"

这并非僵尸网络首次被发现依赖区块链进行C2操作。2021年，谷歌曾采取行动打击名为Glupteba的僵尸网络，该网络使用比特币区块链作为备用C2机制来获取实际C2服务器地址。

Aeternum C2的详情最初在2025年12月浮出水面，当时Outpost24的KrakenLabs透露，一个名为LenAI的威胁行为者在地下论坛上以200美元的价格宣传这款恶意软件，为客户提供访问面板和配置构建的权限。据称，客户花费4000美元可获得完整的C++代码库及更新。

作为一个支持x32和x64构建的原生C++加载器，该恶意软件通过将要发送给受感染主机的命令写入Polygon区块链上的智能合约来工作。机器人随后通过查询公共远程过程调用端点来读取这些命令。

所有这些都通过基于网络的面板进行管理，客户可以从中选择智能合约、选择命令类型、指定载荷URL并进行更新。命令可以针对所有端点或特定端点，作为交易写入区块链，之后所有轮询网络的受损设备都可以使用它。

"一旦命令得到确认，除了钱包持有者之外，任何人都无法更改或删除它，"Qrator Labs表示。"操作者可以同时管理多个智能合约，每个合约可能服务于不同的载荷或功能，如剪贴板劫持器、窃取器、远程访问木马或挖矿程序。"

根据Ctrl Alt Intel本月早些时候发布的两部分研究，C2面板实现为Next.js网络应用程序，允许操作者将智能合约部署到Polygon区块链。智能合约包含一个函数，当恶意软件通过Polygon RPC调用时，会返回加密命令，随后在受害者机器上解码并运行。

除了使用区块链将其转变为抗打击僵尸网络外，该恶意软件还具备各种反分析功能以延长感染的生存期。这包括检测虚拟化环境的检查，以及为客户提供通过Kleenscan扫描其构建的能力，确保不会被反病毒供应商标记。

"运营成本微乎其微：价值1美元的MATIC（Polygon网络的原生代币）足以进行100到150次命令交易，"这家捷克网络安全供应商表示。"操作者不需要租用服务器、注册域名或维护除加密钱包和面板本地副本之外的任何基础设施。"

威胁行为者此后试图以10000美元的要价出售整个工具包，声称缺乏支持时间且参与了另一个项目。"我将把整个项目卖给一个人，允许转售和商业使用，拥有所有'权利'，"LenAI说。"我还会提供有用的开发技巧/注释，这些是我没有时间实现的。"

值得注意的是，LenAI还开发了名为ErrTraffic的第二个犯罪软件解决方案，使威胁行为者能够通过在受损网站上生成虚假故障来自动化ClickFix攻击，诱导虚假紧迫感并欺骗用户遵循恶意指令。

与此同时，Infrawatch发布了一项地下服务的详情，该服务将专用笔记本硬件部署到美国家庭中，将设备纳入名为DSLRoot的住宅代理网络，通过它们重定向恶意流量。

该硬件设计运行基于Delphi的程序DSLPylon，具备枚举网络上支持调制解调器的能力，以及通过Android调试桥集成远程控制住宅网络设备和Android设备。

"归因分析确定操作者为白俄罗斯国民，居住在明斯克和莫斯科，"Infrawatch表示。"DSLRoot估计在美国20多个州运营约300台活跃硬件设备。"

操作者被确定为Andrei Holas（也称Andre Holas和Andrei Golas），该服务在BlackHatWorld上由用户GlobalSolutions推广，声称以每月190美元的价格出售物理住宅ADSL代理以获得无限制访问。还提供六个月990美元和年度订阅1750美元的选项。

"DSLRoot的定制软件提供消费级调制解调器（ARRIS/Motorola、Belkin、D-Link、ASUS）和Android设备的自动化远程管理，通过ADB实现IP地址轮换和连接控制，"该公司指出。"该网络无需身份验证运营，允许客户通过美国住宅IP匿名路由流量。"

Q&A

Q1：Aeternum C2僵尸网络是什么？它有什么特点？

A：Aeternum C2是一个新型僵尸网络加载器，其最大特点是采用基于区块链的命令和控制基础设施。它将指令存储在公共Polygon区块链上，而不依赖传统服务器或域名，这使其能够抵御传统的打击措施，基础设施实际上变得永久存在。

Q2：Aeternum C2的运营成本高吗？

A：运营成本非常低。价值1美元的MATIC（Polygon网络的原生代币）就足以进行100到150次命令交易。操作者不需要租用服务器、注册域名或维护除加密钱包和面板本地副本之外的任何基础设施。

Q3：DSLRoot住宅代理网络是如何运作的？

A：DSLRoot通过将专用笔记本硬件部署到美国家庭中，将这些设备纳入住宅代理网络。该硬件运行名为DSLPylon的程序，能够枚举支持的调制解调器，并通过Android调试桥远程控制住宅网络设备，实现IP地址轮换和匿名流量路由。