Le botnet Aeternum utilise exclusivement la blockchain Polygon pour ses commandes

Le laboratoire de recherche Qrator a révélé l'existence d'Aeternum C2, un chargeur de botnet natif en C++ qui repose uniquement sur la blockchain Polygon, une solution de couche 2 pour Ethereum, comme canal de commandement et de contrôle. Contrairement à des prédécesseurs comme Glupteba, qui utilisait la blockchain en secours, Aeternum n'emploie aucun serveur ni domaine traditionnel, rendant impossible les saisies habituelles. Actif depuis octobre 2025, ce botnet a été détecté via des forums de cybercriminalité. Cette évolution complique les efforts de démantèlement menés par les autorités contre des réseaux comme Emotet ou TrickBot, qui dépendaient de serveurs centraux. Les opérateurs gèrent les infections via un tableau de bord web : ils sélectionnent un contrat intelligent, un type de commande et une URL de charge utile, qui est ensuite inscrite sur la blockchain Polygon, utilisée par des applications décentralisées comme Polymarket. Les machines infectées interrogent plus de 50 points d'accès RPC pour récupérer les instructions en 2 à 3 minutes. Le malware invoque la méthode getDomain() (sélecteur 0xb68d1809) sur le contrat à l'adresse 0x4d70C3393C5d9EC325Edf8b3f289cFA9777e64B0 via un appel eth_call JSON-RPC standard. Celle-ci renvoie une commande chiffrée en AES-256-GCM, dérivée par PBKDF2-HMAC-SHA256 avec 100 000 itérations et l'adresse du contrat en sel. Accès au panneau : 200 dollars ; code source complet : 4 000 dollars. Une géorestriction en russe suggère un opérateur basé en Russie ou dans l'ex-URSS. Les défenseurs peuvent bloquer les endpoints RPC Polygon, surveiller le trafic eth_call anormal, repérer les répertoires wmi* dans AppData* ou détecter le spoofing de PPID via ETW. L'adresse publique du contrat permet de déchiffrer proactivement les commandes.