Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một trình tải botnet mới mang tên Aeternum C2, sử dụng hạ tầng điều khiển và giám sát (C2) dựa trên blockchain nhằm né tránh các biện pháp gỡ bỏ truyền thống.
Theo báo cáo được Qrator Labs chia sẻ, thay vì phụ thuộc vào máy chủ hoặc tên miền như mô hình C2 thông thường, Aeternum lưu trữ chỉ thị điều khiển trực tiếp trên blockchain công khai Polygon. Đây là mạng lưới được sử dụng rộng rãi bởi nhiều ứng dụng phi tập trung, trong đó có Polymarket.
Việc sử dụng blockchain giúp hạ tầng C2 trở nên bền vững và khó bị đánh sập, bởi dữ liệu sau khi ghi lên chuỗi gần như không thể bị chỉnh sửa hoặc xóa nếu không có quyền kiểm soát ví tiền điện tử liên quan.
Mức giá được đưa ra gồm:
200 USD (khoảng 5 triệu đồng) để truy cập bảng điều khiển và bản dựng cấu hình sẵn
4.000 USD (khoảng 100 triệu đồng) để sở hữu toàn bộ mã nguồn C++ cùng các bản cập nhật
10.000 USD (khoảng 250 triệu đồng) cho toàn bộ dự án kèm quyền bán lại và sử dụng thương mại
Phần mềm độc hại sử dụng trình tải C++ gốc, có cả phiên bản 32-bit và 64-bit. Kẻ vận hành ghi lệnh vào các hợp đồng thông minh trên Polygon. Các thiết bị nhiễm mã độc sẽ truy vấn các điểm cuối RPC công khai của mạng này để đọc lệnh, sau đó giải mã và thực thi.
Một khi giao dịch đã được xác nhận trên blockchain, lệnh gần như không thể bị thay đổi hoặc xóa. Điều này tạo ra một cơ chế C2 phân tán, khó bị kiểm soát hơn nhiều so với máy chủ truyền thống.
Theo phân tích của Ctrl Alt Intel, bảng điều khiển C2 được xây dựng dưới dạng ứng dụng web Next.js, cho phép triển khai và quản lý nhiều hợp đồng thông minh cùng lúc. Mỗi hợp đồng có thể phục vụ một loại tải trọng khác nhau như stealer, RAT, clipper hoặc miner.
Đáng chú ý, chi phí vận hành gần như không đáng kể. Theo Qrator Labs, chỉ cần 1 USD tiền MATIC (khoảng 25.000 đồng) là đủ thực hiện từ 100 đến 150 giao dịch lệnh. Người điều hành không cần thuê máy chủ, đăng ký tên miền hay duy trì hạ tầng vật lý, ngoài ví tiền điện tử và bản sao bảng điều khiển cục bộ.
Ngoài ra, Aeternum còn tích hợp nhiều cơ chế chống phân tích, bao gồm phát hiện môi trường ảo hóa và cung cấp khả năng quét bản dựng qua Kleenscan nhằm tránh bị các phần mềm diệt virus phát hiện.
Thiết bị chạy chương trình Delphi mang tên DSLPylon, có khả năng:
Đây là lời cảnh báo rõ ràng rằng các công nghệ hợp pháp như blockchain hoàn toàn có thể bị lợi dụng cho mục đích tấn công mạng nếu thiếu cơ chế giám sát phù hợp. (thehackernews)
Theo báo cáo được Qrator Labs chia sẻ, thay vì phụ thuộc vào máy chủ hoặc tên miền như mô hình C2 thông thường, Aeternum lưu trữ chỉ thị điều khiển trực tiếp trên blockchain công khai Polygon. Đây là mạng lưới được sử dụng rộng rãi bởi nhiều ứng dụng phi tập trung, trong đó có Polymarket.
Việc sử dụng blockchain giúp hạ tầng C2 trở nên bền vững và khó bị đánh sập, bởi dữ liệu sau khi ghi lên chuỗi gần như không thể bị chỉnh sửa hoặc xóa nếu không có quyền kiểm soát ví tiền điện tử liên quan.
Mô hình vận hành tinh vi, chi phí cực thấp
Aeternum C2 lần đầu bị phanh phui vào tháng 12/2025 khi KrakenLabs (thuộc Outpost24) phát hiện một đối tượng có biệt danh LenAI rao bán công cụ này trên các diễn đàn ngầm.Mức giá được đưa ra gồm:
200 USD (khoảng 5 triệu đồng) để truy cập bảng điều khiển và bản dựng cấu hình sẵn
4.000 USD (khoảng 100 triệu đồng) để sở hữu toàn bộ mã nguồn C++ cùng các bản cập nhật
10.000 USD (khoảng 250 triệu đồng) cho toàn bộ dự án kèm quyền bán lại và sử dụng thương mại
Phần mềm độc hại sử dụng trình tải C++ gốc, có cả phiên bản 32-bit và 64-bit. Kẻ vận hành ghi lệnh vào các hợp đồng thông minh trên Polygon. Các thiết bị nhiễm mã độc sẽ truy vấn các điểm cuối RPC công khai của mạng này để đọc lệnh, sau đó giải mã và thực thi.
Một khi giao dịch đã được xác nhận trên blockchain, lệnh gần như không thể bị thay đổi hoặc xóa. Điều này tạo ra một cơ chế C2 phân tán, khó bị kiểm soát hơn nhiều so với máy chủ truyền thống.
Theo phân tích của Ctrl Alt Intel, bảng điều khiển C2 được xây dựng dưới dạng ứng dụng web Next.js, cho phép triển khai và quản lý nhiều hợp đồng thông minh cùng lúc. Mỗi hợp đồng có thể phục vụ một loại tải trọng khác nhau như stealer, RAT, clipper hoặc miner.
Đáng chú ý, chi phí vận hành gần như không đáng kể. Theo Qrator Labs, chỉ cần 1 USD tiền MATIC (khoảng 25.000 đồng) là đủ thực hiện từ 100 đến 150 giao dịch lệnh. Người điều hành không cần thuê máy chủ, đăng ký tên miền hay duy trì hạ tầng vật lý, ngoài ví tiền điện tử và bản sao bảng điều khiển cục bộ.
Ngoài ra, Aeternum còn tích hợp nhiều cơ chế chống phân tích, bao gồm phát hiện môi trường ảo hóa và cung cấp khả năng quét bản dựng qua Kleenscan nhằm tránh bị các phần mềm diệt virus phát hiện.
DSLRoot: Mạng proxy dân cư từ phần cứng cài cắm tại Mỹ
Song song với Aeternum, một báo cáo khác từ Infrawatch tiết lộ về dịch vụ ngầm có tên DSLRoot. Dịch vụ này triển khai phần cứng chuyên dụng vào các hộ gia đình tại Mỹ nhằm biến chúng thành mạng proxy dân cư.Thiết bị chạy chương trình Delphi mang tên DSLPylon, có khả năng:
- Liệt kê các modem được hỗ trợ
- Điều khiển từ xa modem gia đình
- Kiểm soát thiết bị Android thông qua Android Debug Bridge (ADB)
- 190 USD/tháng (khoảng 4,75 triệu đồng)
- 990 USD cho 6 tháng (khoảng 24,75 triệu đồng)
- 1.750 USD/năm (khoảng 43,75 triệu đồng)
Xu hướng mới của tội phạm mạng: Phi tập trung hóa hạ tầng
Việc lợi dụng blockchain để xây dựng hạ tầng C2 cho thấy xu hướng phi tập trung hóa đang được tội phạm mạng khai thác triệt để. Khi không còn phụ thuộc vào máy chủ trung tâm, các chiến dịch botnet như Aeternum C2 có khả năng tồn tại lâu hơn, khó bị triệt phá hơn và vận hành với chi phí rất thấp.Đây là lời cảnh báo rõ ràng rằng các công nghệ hợp pháp như blockchain hoàn toàn có thể bị lợi dụng cho mục đích tấn công mạng nếu thiếu cơ chế giám sát phù hợp. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
