VOLVER A NOTICIAS
Última Hora

Aeternum: El Botnet que Explotia la Blockchain de Polygon para una Infraestructura C&C Resiliente

4 min de lecturaFuente: SecurityWeek

Investigadores descubren cómo el botnet Aeternum utiliza contratos inteligentes en Polygon para evadir tácticas tradicionales de desmantelamiento y mejorar su persistencia.

El Botnet Aeternum Adopta la Blockchain de Polygon para Mayor Resiliencia en su Infraestructura C&C

Investigadores en ciberseguridad han identificado un enfoque innovador por parte del loader del botnet Aeternum, que ahora emplea contratos inteligentes en la blockchain de Polygon para establecer una infraestructura de mando y control (C&C) altamente resiliente. Este desarrollo marca una evolución significativa en las operaciones de botnets, aprovechando la tecnología descentralizada para evadir los esfuerzos tradicionales de desmantelamiento.

Detalles Clave

  • Nombre del Botnet: Aeternum (variante loader)
  • Blockchain Utilizada: Polygon (solución Layer 2 compatible con Ethereum)
  • Mecanismo: Contratos inteligentes para comunicación C&C
  • Impacto: Mayor resiliencia ante la interrupción de la infraestructura

Implementación Técnica

Los operadores de Aeternum han integrado contratos inteligentes basados en Polygon para facilitar las comunicaciones C&C. A diferencia de los botnets convencionales que dependen de servidores centralizados o algoritmos de generación de dominios (DGAs), este enfoque aprovecha la naturaleza inmutable y distribuida de la blockchain para:

  • Eliminar puntos únicos de fallo: Los contratos inteligentes se despliegan en una red descentralizada, lo que hace casi imposible desmantelar la infraestructura C&C mediante métodos tradicionales (por ejemplo, incautación de servidores o sinkholing de DNS).
  • Mejorar el sigilo: Las comunicaciones se incrustan dentro de transacciones blockchain, mezclándose con el tráfico legítimo y complicando los esfuerzos de detección.
  • Garantizar persistencia: Incluso si algunos nodos son comprometidos, el botnet puede reconfigurarse dinámicamente utilizando direcciones de contratos alternativas o mecanismos de respaldo.

Aunque las direcciones exactas de los contratos inteligentes o los hashes de transacciones no han sido revelados, los investigadores señalan que la implementación de Aeternum refleja técnicas observadas en otros malwares basados en blockchain, como los primeros experimentos de TrickBot con Ethereum o el uso de Bitcoin por Glupteba para C&C.

Análisis de Impacto

La adopción de la blockchain de Polygon para operaciones C&C introduce varios desafíos para los defensores:

  1. Resistencia al Desmantelamiento: Las tácticas tradicionales de interrupción de botnets —como la incautación de servidores C&C o la revocación de dominios— son ineficaces contra infraestructuras descentralizadas. Las fuerzas del orden y los equipos de seguridad ahora deben enfrentarse a la permanencia de los datos en cadena y a las complejidades jurisdiccionales inherentes a las redes blockchain.

  2. Evasión de la Detección: Las transacciones en blockchain están cifradas y distribuidas, lo que dificulta distinguir el tráfico malicioso de C&C de la actividad legítima de la red Polygon. Las herramientas de detección basadas en firmas pueden tener dificultades para identificar comunicaciones de botnets sin un análisis conductual avanzado.

  3. Escalabilidad: El bajo costo y el alto rendimiento de la red Layer 2 de Polygon permiten a Aeternum escalar rápidamente, expandiendo potencialmente el tamaño del botnet sin aumentos proporcionales en la sobrecarga operativa.

  4. Desafíos de Atribución: La naturaleza seudónima de la blockchain complica los esfuerzos para rastrear a los operadores del botnet, ya que las transacciones pueden ofuscarse mediante mixers o carteras enfocadas en la privacidad.

Recomendaciones para Equipos de Seguridad

Para mitigar los riesgos que plantean botnets habilitados por blockchain como Aeternum, las organizaciones deberían:

  • Monitorear la Actividad en Blockchain: Implementar herramientas capaces de analizar transacciones en Polygon y Ethereum en busca de patrones anómalos que indiquen comunicaciones C&C. Soluciones como Chainalysis o TRM Labs pueden ayudar a rastrear actividades sospechosas en cadena.

  • Mejorar la Detección en Endpoints: Priorizar la detección basada en comportamiento para identificar infecciones de botnets, enfocándose en indicadores como:

    • Conexiones salientes inusuales a endpoints RPC de blockchain.
    • Procesos que intenten interactuar con carteras de criptomonedas o contratos inteligentes.

  • Implementar Segmentación de Red: Aislar sistemas críticos de los endpoints que puedan interactuar con redes blockchain, reduciendo el potencial de movimiento lateral del malware de botnets.

  • Colaborar con Expertos en Forense de Blockchain: Trabajar con firmas especializadas en forense de blockchain para rastrear y interrumpir transacciones relacionadas con botnets, especialmente en colaboración con las fuerzas del orden.

  • Mantenerse Informado sobre Amenazas Emergentes: Seguir los avisos de CISA, MITRE y proveedores de seguridad para actualizaciones sobre tácticas, técnicas y procedimientos (TTPs) de malware basado en blockchain.

Conclusión

El uso de contratos inteligentes en la blockchain de Polygon por parte de Aeternum para operaciones C&C subraya la creciente sofisticación de la infraestructura de los botnets. A medida que los actores de amenazas continúan explotando tecnologías descentralizadas, los equipos de seguridad deben adaptarse integrando detección consciente de blockchain e inteligencia de amenazas descentralizada en sus estrategias defensivas. Investigaciones adicionales sobre la lógica de los contratos inteligentes de Aeternum podrían revelar oportunidades para contramedidas, pero por ahora, el botnet sigue siendo un desafío formidable para las defensas tradicionales en ciberseguridad.

Compartir

TwitterLinkedIn