El marco de comando y control (C2) de código abierto conocido como AdaptixC2 está siendo utilizado por un número creciente de actores de amenazas, algunos de los cuales están relacionados con bandas rusas de ransomware.
AdaptixC2 es un emergente Marco extensible de emulación posexplotación y confrontación. Diseñado para pruebas de penetración. Si bien el componente del servidor está escrito en Golang, el cliente GUI está escrito en C++ QT para compatibilidad multiplataforma.
Viene con una amplia gama de funciones, que incluyen comunicaciones totalmente cifradas, ejecución de comandos, administradores de credenciales y capturas de pantalla y una terminal remota, entre otras. Una iteración temprana fue liberado públicamente por un usuario de GitHub llamado «RalfHacker» (@HackerRalf en X) en agosto de 2024, quienes se describen a sí mismos como probadores de penetración, operadores del equipo rojo y «MalDev» (abreviatura de desarrollador de malware).
En los últimos meses, AdaptixC2 ha sido adoptado por varios grupos de hackers, incluidos actores de amenazas vinculados al Niebla y akira operaciones de ransomware, así como por un corredor de acceso inicial que ha aprovechado Contarcargador en ataques que están diseñados para ofrecer diversas herramientas posteriores a la explotación.
Unidad 42 de Palo Alto Networks, que desglosó el aspectos técnicos del marco el mes pasado, lo caracterizó como un marco modular y versátil que se puede usar para «controlar integralmente las máquinas afectadas» y que se ha utilizado como parte de estafas falsas de llamadas de soporte técnico a través de Microsoft Teams y mediante un script de PowerShell generado por inteligencia artificial (IA).
Si bien AdaptixC2 se ofrece como una herramienta ética y de código abierto para actividades de equipos rojos, también está claro que ha atraído la atención de los ciberdelincuentes.
Empresa de ciberseguridad Silent Push dicho La biografía de RalfHacker en GitHub acerca de que eran «MalDev» desencadenó una investigación, lo que les permitió encontrar varias direcciones de correo electrónico para cuentas de GitHub vinculadas al propietario de la cuenta, además de un canal de Telegram llamado Canal RalfHackerdonde volvieron a compartir mensajes publicados en un canal dedicado para AdaptixC2. El canal RalfHackerChannel tiene más de 28.000 suscriptores.
En un mensaje en el canal AdaptixFramework en agosto de 2024, mencionaron su interés en iniciar un proyecto sobre un «C2 público, que está muy de moda ahora mismo» y esperaban que «sea como Imperio«, otro marco popular de emulación del adversario y posterior a la explotación.
Si bien actualmente no se sabe si RalfHacker tiene alguna participación directa en actividad maliciosa vinculada a AdaptixC2 o CountLoader en esta etapa, Silent Push dijo que sus «vínculos con la clandestinidad criminal de Rusia, a través del uso de Telegram para marketing y el posterior aumento de la utilización de la herramienta por parte de actores de amenazas rusos, generan importantes señales de alerta».
The Hacker News se comunicó con RalfHacker para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
Fuente