{"id":94,"date":"2026-02-27T00:13:19","date_gmt":"2026-02-27T00:13:19","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/27\/la-botnet-aeternum-c2-almacena-comandos-cifrados-en-polygon-blockchain-para-evadir-el-ataque-cyberdefensa-mx\/"},"modified":"2026-02-27T00:13:19","modified_gmt":"2026-02-27T00:13:19","slug":"la-botnet-aeternum-c2-almacena-comandos-cifrados-en-polygon-blockchain-para-evadir-el-ataque-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/27\/la-botnet-aeternum-c2-almacena-comandos-cifrados-en-polygon-blockchain-para-evadir-el-ataque-cyberdefensa-mx\/","title":{"rendered":"La botnet Aeternum C2 almacena comandos cifrados en Polygon Blockchain para evadir el ataque \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnet llamado Aeternum C2<\/strong> que utiliza una infraestructura de comando y control (C2) basada en blockchain para hacerlo resistente a los esfuerzos de eliminaci\u00f3n.<\/p>\n

\u00abEn lugar de depender de servidores o dominios tradicionales para el comando y control, Aeternum almacena sus instrucciones en la cadena de bloques p\u00fablica Polygon\u00bb, Qrator Labs dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\u00abEsta red es ampliamente utilizada por aplicaciones descentralizadas, incluido Polymarket, el mercado de predicci\u00f3n m\u00e1s grande del mundo. Este enfoque hace que la infraestructura C2 de Aeternum sea efectivamente permanente y resistente a los m\u00e9todos tradicionales de eliminaci\u00f3n\u00bb.<\/p>\n

Esta no es la primera vez que se descubre que botnets dependen de blockchain para C2. En 2021, Google dijo que tom\u00f3 medidas para interrumpir una botnet conocida como Glupteba que utiliza la cadena de bloques de Bitcoin como mecanismo C2 de respaldo para recuperar la direcci\u00f3n real del servidor C2.<\/p>\n

Los detalles de Aeternum C2 surgieron por primera vez en diciembre de 2025, cuando KrakenLabs de Outpost24 revel\u00f3<\/a> que un actor de amenazas llamado LenAI estaba anunciando el malware en foros clandestinos por 200 d\u00f3lares que otorga a los clientes acceso a un panel y una compilaci\u00f3n configurada. Por 4.000 d\u00f3lares, supuestamente a los clientes se les prometi\u00f3 todo el c\u00f3digo base de C++ junto con las actualizaciones.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El malware, un cargador nativo de C++ disponible en versiones x32 y x64, funciona escribiendo comandos que se emiten al host infectado en contratos inteligentes en la cadena de bloques Polygon. Luego, los bots leen esos comandos consultando puntos finales p\u00fablicos de llamada a procedimiento remoto (RPC).<\/p>\n

Todo esto se gestiona a trav\u00e9s del panel web, desde donde los clientes pueden seleccionar un contrato inteligente, elegir un tipo de comando, especificar una URL de carga \u00fatil y actualizarla. El comando, que puede apuntar a todos los puntos finales o a uno espec\u00edfico, se escribe en la cadena de bloques como una transacci\u00f3n, despu\u00e9s de lo cual queda disponible para todos los dispositivos comprometidos que est\u00e9n sondeando la red.<\/p>\n

\u00abUna vez que se confirma un comando, nadie m\u00e1s que el titular de la billetera no puede modificarlo ni eliminarlo\u00bb, dijo Qrator Labs. \u00abEl operador puede gestionar m\u00faltiples contratos inteligentes simult\u00e1neamente, cada uno de los cuales potencialmente cumple una carga \u00fatil o funci\u00f3n diferente, como un clipper, un ladr\u00f3n, un RAT o un minero\u00bb.<\/p>\n

Seg\u00fan un investigaci\u00f3n en dos partes<\/a> publicado por Ctrl Alt Intel<\/a> A principios de este mes, el panel C2 se implement\u00f3 como una aplicaci\u00f3n web Next.js que permite a los operadores implementar contratos inteligentes en la cadena de bloques Polygon. Los contratos inteligentes contienen una funci\u00f3n que, cuando el malware la llama a trav\u00e9s de Polygon RPC, hace que devuelva el comando cifrado que posteriormente se decodifica y se ejecuta en las m\u00e1quinas v\u00edctimas.<\/p>\n

\"\"<\/a><\/div>\n

Adem\u00e1s de utilizar blockchain para convertirla en una botnet resistente a la eliminaci\u00f3n, el malware incluye varias funciones antian\u00e1lisis para extender la vida \u00fatil de las infecciones. Esto incluye comprobaciones para detectar entornos virtualizados, adem\u00e1s de equipar a los clientes con la capacidad de escanear sus compilaciones a trav\u00e9s de Kleenscan<\/a> para garantizar que no sean marcados por los proveedores de antivirus.<\/p>\n

\u00abLos costes operativos son insignificantes: 1 d\u00f3lar en MATIC, el token nativo de la red Polygon, es suficiente para entre 100 y 150 transacciones de comando\u00bb, dijo el proveedor checo de ciberseguridad. \u00abEl operador no necesita alquilar servidores, registrar dominios ni mantener ninguna infraestructura m\u00e1s all\u00e1 de una billetera criptogr\u00e1fica y una copia local del panel\u00bb.<\/p>\n

El actor de amenazas ha desde entonces intent\u00f3 vender todo el kit de herramientas<\/a> por un precio inicial de 10.000 d\u00f3lares, alegando falta de tiempo para recibir apoyo y su participaci\u00f3n en otro proyecto. \u00abVender\u00e9 todo el proyecto a una persona con permiso para reventa y uso comercial, con todos los ‘derechos’\u00bb, dijo LenAI. \u00abTambi\u00e9n dar\u00e9 consejos\/notas \u00fatiles sobre el desarrollo que no tuve tiempo de implementar\u00bb.<\/p>\n

Vale la pena se\u00f1alar que LenAI tambi\u00e9n est\u00e1 detr\u00e1s de una segunda soluci\u00f3n de crimeware llamada ErrTraffic que permite a los actores de amenazas automatizar los ataques ClickFix generando fallos falsos en sitios web comprometidos para inducir una falsa sensaci\u00f3n de urgencia y enga\u00f1ar a los usuarios para que sigan instrucciones maliciosas.<\/p>\n

La divulgaci\u00f3n se produce cuando Infrawatch public\u00f3 detalles de un servicio clandestino que implementa hardware de computadoras port\u00e1tiles dedicado en hogares estadounidenses para incorporar los dispositivos a una red proxy residencial llamada DSLRoot que redirige el tr\u00e1fico malicioso a trav\u00e9s de ellos.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El hardware est\u00e1 dise\u00f1ado para ejecutar un programa basado en Delphi llamado DSLPylon que est\u00e1 equipado con capacidades para enumerar m\u00f3dems compatibles en la red, as\u00ed como para controlar de forma remota el equipo de red residencial y los dispositivos Android a trav\u00e9s de una integraci\u00f3n de Android Debug Bridge (ADB).<\/p>\n

\u00abEl an\u00e1lisis de atribuci\u00f3n identifica al operador como un ciudadano bielorruso con presencia residencial en Minsk y Mosc\u00fa\u00bb, Infrawatch dicho<\/a>. \u00abSe estima que DSLRoot opera aproximadamente 300 dispositivos de hardware activos en m\u00e1s de 20 estados de EE. UU.\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

El operador ha sido identificado como Andrei Holas (tambi\u00e9n conocido como Andre Holas y Andrei Golas), con el servicio promocionado en BlackHatWorld por un usuario que opera bajo el alias GlobalSolutions, afirmando ofrecer proxies ADSL residenciales f\u00edsicos a la venta por $190 por mes para acceso sin restricciones. Tambi\u00e9n est\u00e1 disponible por $990 por seis meses y $1,750 por suscripciones anuales.<\/p>\n

\u00abEl software personalizado de DSLRoot proporciona gesti\u00f3n remota automatizada de m\u00f3dems de consumo (ARRIS\/Motorola, Belkin, D-Link, ASUS) y dispositivos Android a trav\u00e9s de ADB, lo que permite la rotaci\u00f3n de direcciones IP y el control de la conectividad\u00bb, se\u00f1al\u00f3 la empresa. \u00abLa red opera sin autenticaci\u00f3n, lo que permite a los clientes enrutar el tr\u00e1fico de forma an\u00f3nima a trav\u00e9s de IP residenciales de EE. UU.\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnet llamado Aeternum C2 que utiliza una infraestructura de comando y control (C2) basada en blockchain para hacerlo resistente a los esfuerzos de eliminaci\u00f3n. \u00abEn lugar de depender de servidores o dominios tradicionales para el comando y control, Aeternum almacena sus instrucciones en la […]<\/p>\n","protected":false},"author":1,"featured_media":55,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[174,175,181,179,173,177,176,24,180,36,178],"class_list":["post-94","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-aeternum","tag-almacena","tag-ataque","tag-blockchain","tag-botnet","tag-cifrados","tag-comandos","tag-cyberdefensa-mx","tag-evadir","tag-para","tag-polygon"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/94","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=94"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/94\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/55"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=94"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=94"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=94"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}