Aeternum Botnet Loader sử dụng hệ thống C2 của Polygon Blockchain

09:46 | 04/03/2026

Vừa qua, Qrator Labs đã chia sẻ thông tin chi tiết về Aeternum C2, một botnet loader mới được phát hiện gần đây, dựa vào Polygon Blockchain để liên lạc với máy chủ điều khiển và ra lệnh (C2), nhờ đó tăng cường khả năng chống lại các chiến dịch trấn áp của các lực lượng thực thi pháp luật.

Phần mềm độc hại này được phát hiện lần đầu tiên vào tháng 12/2025, sau khi một kẻ tấn công bắt đầu quảng cáo trên các diễn đàn ngầm, cho rằng nó hoạt động hoàn toàn dựa trên hợp đồng thông minh.

Kẻ tấn công tuyên bố rằng các lệnh được gửi đến bot dưới dạng mã hóa, thông qua nhiều mạng RPC (gọi thủ tục từ xa) và được xác thực trước khi thực thi, loại bỏ hoàn toàn nhu cầu về cơ sở hạ tầng tập trung.

Bên cạnh đó, mã độc cũng được quảng cáo với các tính năng kiểm tra anti-VM, quét vi-rút và hỗ trợ thực thi nhiều loại payload khác nhau, được chào bán với giá 200 USD cho giấy phép trọn đời kèm quyền truy cập bảng điều khiển và bản build, hoặc 4.000 USD cho toàn bộ mã nguồn C++ và các bản cập nhật liên tục.

Theo Qrator Labs, việc quản lý bot thông qua một bảng điều khiển dựa trên web, cho phép người vận hành cập nhật các hợp đồng thông minh hiện có với các lệnh và dữ liệu mới. Các lệnh được gửi đến bot chỉ trong một thời gian ngắn, để truy xuất chúng, bot sẽ truy vấn các điểm cuối RPC công khai để đọc các hợp đồng thông minh có sẵn.

Theo Qrator Labs, Aeternum cũng tích hợp Scantime AV scanner, cho phép người vận hành xác minh các bản build của họ với 37 công cụ chống vi-rút thông qua API Kleenscan.

Tuy nhiên, điểm nổi bật của mạng botnet này là việc sử dụng Polygon Blockchain cho liên lạc C2. Như Qrator Labs đã chỉ ra, điều này làm cho cơ sở hạ tầng của Aeternum trở nên vững vàng hơn và tăng khả năng chống lại các chiến dịch trấn áp của các lực lượng thực thi pháp luật.

Polygon Blockchain được sử dụng bởi nhiều ứng dụng phi tập trung, bao gồm cả Polymarket, việc sử dụng nó hầu như không tốn chi phí cho các nhà điều hành của Aeternum. “Chi phí vận hành là không đáng kể: 1 USD bằng MATIC, token gốc của mạng Polygon, đủ cho 100 đến 150 lệnh giao dịch. Người vận hành không cần thuê máy chủ, đăng ký tên miền hoặc duy trì bất kỳ cơ sở hạ tầng nào ngoài ví tiền điện tử và bản sao cục bộ của bảng điều khiển” Qrator Labs lưu ý.

Mạng botnet Glupteba, từng là mục tiêu của một chiến dịch triệt phá vào tháng 12/2021 nhưng vẫn hoạt động và trỗi dậy trở lại do sử dụng Bitcoin làm kênh C2 dự phòng, minh họa cho những rủi ro liên quan đến việc mạng botnet sử dụng các mạng phi tập trung.

“Dù Aeternum có được áp dụng rộng rãi hay không, thì hệ thống C2 dựa trên Blockchain hiện đã là một sản phẩm hoàn chỉnh trên thị trường ngầm. Mô hình này khả thi và những kẻ tấn công dự kiến sẽ tiếp tục phát triển dựa trên nó”, Qrator Labs nhận định.