Investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnet llamado Aeternum C2 que utiliza una infraestructura de comando y control (C2) basada en blockchain para hacerlo resistente a los esfuerzos de eliminación.

«En lugar de depender de servidores o dominios tradicionales para el comando y control, Aeternum almacena sus instrucciones en la cadena de bloques pública Polygon», Qrator Labs dicho en un informe compartido con The Hacker News.

«Esta red es ampliamente utilizada por aplicaciones descentralizadas, incluido Polymarket, el mercado de predicción más grande del mundo. Este enfoque hace que la infraestructura C2 de Aeternum sea efectivamente permanente y resistente a los métodos tradicionales de eliminación».

Esta no es la primera vez que se descubre que botnets dependen de blockchain para C2. En 2021, Google dijo que tomó medidas para interrumpir una botnet conocida como Glupteba que utiliza la cadena de bloques de Bitcoin como mecanismo C2 de respaldo para recuperar la dirección real del servidor C2.

Los detalles de Aeternum C2 surgieron por primera vez en diciembre de 2025, cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado LenAI estaba anunciando el malware en foros clandestinos por 200 dólares que otorga a los clientes acceso a un panel y una compilación configurada. Por 4.000 dólares, supuestamente a los clientes se les prometió todo el código base de C++ junto con las actualizaciones.

El malware, un cargador nativo de C++ disponible en versiones x32 y x64, funciona escribiendo comandos que se emiten al host infectado en contratos inteligentes en la cadena de bloques Polygon. Luego, los bots leen esos comandos consultando puntos finales públicos de llamada a procedimiento remoto (RPC).

Todo esto se gestiona a través del panel web, desde donde los clientes pueden seleccionar un contrato inteligente, elegir un tipo de comando, especificar una URL de carga útil y actualizarla. El comando, que puede apuntar a todos los puntos finales o a uno específico, se escribe en la cadena de bloques como una transacción, después de lo cual queda disponible para todos los dispositivos comprometidos que estén sondeando la red.

«Una vez que se confirma un comando, nadie más que el titular de la billetera no puede modificarlo ni eliminarlo», dijo Qrator Labs. «El operador puede gestionar múltiples contratos inteligentes simultáneamente, cada uno de los cuales potencialmente cumple una carga útil o función diferente, como un clipper, un ladrón, un RAT o un minero».

Según un investigación en dos partes publicado por Ctrl Alt Intel A principios de este mes, el panel C2 se implementó como una aplicación web Next.js que permite a los operadores implementar contratos inteligentes en la cadena de bloques Polygon. Los contratos inteligentes contienen una función que, cuando el malware la llama a través de Polygon RPC, hace que devuelva el comando cifrado que posteriormente se decodifica y se ejecuta en las máquinas víctimas.

Además de utilizar blockchain para convertirla en una botnet resistente a la eliminación, el malware incluye varias funciones antianálisis para extender la vida útil de las infecciones. Esto incluye comprobaciones para detectar entornos virtualizados, además de equipar a los clientes con la capacidad de escanear sus compilaciones a través de Kleenscan para garantizar que no sean marcados por los proveedores de antivirus.

«Los costes operativos son insignificantes: 1 dólar en MATIC, el token nativo de la red Polygon, es suficiente para entre 100 y 150 transacciones de comando», dijo el proveedor checo de ciberseguridad. «El operador no necesita alquilar servidores, registrar dominios ni mantener ninguna infraestructura más allá de una billetera criptográfica y una copia local del panel».

El actor de amenazas ha desde entonces intentó vender todo el kit de herramientas por un precio inicial de 10.000 dólares, alegando falta de tiempo para recibir apoyo y su participación en otro proyecto. «Venderé todo el proyecto a una persona con permiso para reventa y uso comercial, con todos los ‘derechos’», dijo LenAI. «También daré consejos/notas útiles sobre el desarrollo que no tuve tiempo de implementar».

Vale la pena señalar que LenAI también está detrás de una segunda solución de crimeware llamada ErrTraffic que permite a los actores de amenazas automatizar los ataques ClickFix generando fallos falsos en sitios web comprometidos para inducir una falsa sensación de urgencia y engañar a los usuarios para que sigan instrucciones maliciosas.

La divulgación se produce cuando Infrawatch publicó detalles de un servicio clandestino que implementa hardware de computadoras portátiles dedicado en hogares estadounidenses para incorporar los dispositivos a una red proxy residencial llamada DSLRoot que redirige el tráfico malicioso a través de ellos.

El hardware está diseñado para ejecutar un programa basado en Delphi llamado DSLPylon que está equipado con capacidades para enumerar módems compatibles en la red, así como para controlar de forma remota el equipo de red residencial y los dispositivos Android a través de una integración de Android Debug Bridge (ADB).

«El análisis de atribución identifica al operador como un ciudadano bielorruso con presencia residencial en Minsk y Moscú», Infrawatch dicho. «Se estima que DSLRoot opera aproximadamente 300 dispositivos de hardware activos en más de 20 estados de EE. UU.».

El operador ha sido identificado como Andrei Holas (también conocido como Andre Holas y Andrei Golas), con el servicio promocionado en BlackHatWorld por un usuario que opera bajo el alias GlobalSolutions, afirmando ofrecer proxies ADSL residenciales físicos a la venta por $190 por mes para acceso sin restricciones. También está disponible por $990 por seis meses y $1,750 por suscripciones anuales.

«El software personalizado de DSLRoot proporciona gestión remota automatizada de módems de consumo (ARRIS/Motorola, Belkin, D-Link, ASUS) y dispositivos Android a través de ADB, lo que permite la rotación de direcciones IP y el control de la conectividad», señaló la empresa. «La red opera sin autenticación, lo que permite a los clientes enrutar el tráfico de forma anónima a través de IP residenciales de EE. UU.».