Comment le botnet Aeternum C2 exploite la blockchain Polygon pour échapper aux démantèlements
Lysandre Beauchêne
Une menace invisible : plus de 30 % des nouvelles campagnes de malware en 2025 s’appuient sur des infrastructures décentralisées
En 2025, plus de 30 % des incidents recensés par l’ANSSI comportaient une composante blockchain dans leur chaîne de command-and-control (C2). Cette évolution montre que les cybercriminels ne se contentent plus de serveurs classiques : ils migrent vers des réseaux distribués, difficiles à neutraliser. Parmi les acteurs les plus récents, le botnet Aeternum C2 se distingue par son usage de la blockchain Polygon pour stocker des commandes chiffrées. Dans cet article, nous décortiquons son fonctionnement, ses avantages, ses limites, et surtout les mesures que vous pouvez déployer pour le détecter et le contrer.
Le fonctionnement du botnet Aeternum C2 sur la blockchain Polygon
Architecture du C2 décentralisé
Aeternum C2 s’appuie sur un modèle où chaque commande est encapsulée dans une transaction smart contract publiée sur la blockchain publique Polygon. Le malware installé sur les machines compromises interroge régulièrement les nœuds RPC publics de Polygon pour récupérer les dernières transactions. Une fois la réponse reçue, le code du bot déchiffre le payload et l’exécute. Cette approche élimine la nécessité de maintenir des serveurs DNS ou d’héberger des sites web, rendant la chaîne de commandement pratiquement intangible.
“Instead of relying on traditional servers or domains for command-and-control, Aeternum stores its instructions on the public Polygon blockchain,” - Qrator Labs.
Processus d’injection des commandes chiffrées
- Création du smart contract : l’opérateur utilise le panneau web basé sur Next.js pour déployer un contrat sur Polygon.
- Encodage : la commande (ex. : téléchargement d’un payload, exécution d’un script) est chiffrée avec une clé symétrique dérivée d’un secret stocké dans le portefeuille du cybercriminel.
- Publication : la transaction contenant le payload chiffré est diffusée via le réseau MATIC.
- Récupération : chaque bot interroge le RPC, récupère la transaction et déchiffre le contenu avant exécution.
Le coût d’une transaction est minime : 0,01 $ de MATIC suffit pour 100 à 150 commandes, comme le souligne le rapport ENISA 2025.
Les avantages et les limites d’une C2 basée sur la blockchain
Résilience face aux interventions légales
Grâce à la nature immuable de la blockchain, une fois la transaction inscrite, elle ne peut être modifiée ou supprimée que par le propriétaire du portefeuille. Les autorités ne peuvent pas simplement « prendre » un serveur ; ils doivent viser le portefeuille, ce qui implique de suivre les flux de crypto-monnaie, souvent anonymisés. De plus, la disponibilité du réseau Polygon garantit que les commandes restent accessibles tant que le réseau fonctionne, assurant ainsi une persistence quasi permanente.
Coûts opérationnels et contraintes techniques
Coût : le rapport de Qrator Labs indique que $1 de MATIC couvre entre 100 et 150 transactions, rendant les dépenses opérationnelles négligeables comparées aux frais de location de serveurs. Latence : le temps moyen de propagation d’une transaction sur Polygon est d’environ 2 secondes, ce qui est acceptable pour la plupart des tâches de botnet, mais peut être limitant pour des opérations en temps réel. Complexité : la mise en place nécessite des compétences en développement C++ et en déploiement de smart contracts, ce qui restreint le nombre d’acteurs capables de reproduire le modèle.
Comparaison avec les botnets précédents utilisant la blockchain
Cas Glupteba (Bitcoin) vs Aeternum (Polygon)
| Caractéristique | Glupteba (Bitcoin) | Aeternum C2 (Polygon) |
|---|---|---|
| Type de blockchain | Bitcoin (UTXO) | Polygon (EVM) |
| Méthode de stockage | Adresse Bitcoin contenant un hash | Smart contract contenant le payload chiffré |
| Coût moyen d’une transaction | ~0,0005 BTC (~30 $) | ~0,01 $ (MATIC) |
| Latence de propagation | 10-15 minutes (bloc Bitcoin) | 2-3 secondes (bloc Polygon) |
| Complexité de mise en œuvre | Modérée (script Bitcoin) | Élevée (développement C++ + Solidity) |
Cette comparaison montre que Polygon offre une rapidité et un coût nettement supérieurs, expliquant l’engouement récent pour cette chaîne.
Tableau comparatif des vecteurs d’évasion
| Technique d’évasion | Glupteba | Aeternum C2 |
|---|---|---|
| Utilisation de DNS dynamique | Oui | Non |
| Stockage sur blockchain | Adresse Bitcoin | Smart contract Polygon |
| Chiffrement du payload | AES-256 | AES-256 + clé dérivée du portefeuille |
| Anti-analyse (VM detection) | Basique | Avancé (checks multiples) |
Techniques d’évasion et anti-analyse intégrées
Détection d’environnements virtualisés
Le chargeur C++ d’Aeternum intègre des appels système pour interroger les registres Windows et les hyperviseurs connus (VMware, VirtualBox, Hyper‑V). RoguePilot – faille critique de GitHub Codespaces des appels système pour interroger les registres Windows et les hyperviseurs connus (VMware, VirtualBox, Hyper-V). Si un environnement virtuel est détecté, le malware suspend son exécution, réduisant ainsi les chances d’être analysé dans un sandbox.
Obfuscation et chiffrement des charges utiles
- Le code source est compilé avec des options d’obfuscation avancées (LLVM-Obfuscator).
- Les commandes sont chiffrées avec AES-256-GCM avant d’être injectées dans le smart contract.
- Chaque transaction inclut un nonce unique afin d’empêcher la corrélation de trafic.
“Once a command is confirmed, it cannot be altered or removed by anyone other than the wallet holder,” - Qrator Labs.
Guide de détection et de réponse pour les équipes SOC
Indicateurs de compromission (IoC)
- Requêtes RPC vers
https://polygon-rpc.comprovenant de postes non-autorisés. - Transactions Polygon contenant des données hexadécimales inhabituelles détectées via des logs de pare-feu.
- Processus C++ non signés qui créent des sockets réseau et ouvrent des fichiers de configuration sous
%APPDATA%. - Présence de fichiers
*.dllnommés de façon aléatoire avec des signatures PE atypiques.
Étapes de remédiation
- Isolation immédiate du poste suspect et désactivation des connexions RPC.
- Analyse forensique des fichiers exécutables et des logs réseau pour identifier le smart contract ciblé.
- Blocage au niveau du firewall des adresses IP des nœuds RPC publics de Polygon.
- Mise à jour des signatures antivirus avec les hash SHA-256 des chargeurs connus.
- Communication avec l’équipe juridique pour envisager une action de saisie du portefeuille crypto identifié.
Mise en œuvre - actions concrètes pour renforcer votre posture
Checklist de mesures préventives
- Surveiller les flux DNS vers les domaines liés à Polygon (ex. :
polygon.io,matic.network). - Déployer un système de détection d’anomalies basé sur le volume de requêtes HTTP POST vers les endpoints RPC.
- Restreindre l’accès aux ports sortants non indispensables sur les postes de travail.
- Former les équipes à reconnaître les comportements de malware C++ non signés. Guide pour créer un CV cybersécurité 2026
- Auditer les comptes de service pour éviter que des clés API de blockchain ne soient compromises.
Outils et ressources recommandés
- Zeek (anciennement Bro) avec des scripts de détection de trafic RPC Polygon.
- Sigma - règles de détection pour les logs Windows Event ID 4688 (création de processus).
- ELK Stack - tableau de bord pour visualiser les transactions suspectes sur la blockchain.
- Kleenscan - outil de scan anti-antivirus mentionné par les opérateurs du botnet. POEI cybersécurité – guide complet pour se former et décrocher un emploi
// Exemple de requête RPC Polygon pour récupérer les dernières transactions d’un smart contract
{
"jsonrpc": "2.0",
"method": "eth_getLogs",
"params": [{
"address": "0xABCD...1234",
"fromBlock": "0x10D4F",
"toBlock": "latest"
}],
"id": 1
}
Conclusion - Protégez votre infrastructure dès aujourd’hui
Le botnet Aeternum C2 montre que la blockchain n’est plus uniquement un enjeu financier : elle devient un vecteur stratégique pour les cybercriminels. En combinant la persistance d’une chaîne publique avec un chiffrement robuste, les opérateurs obtiennent une C2 résiliente à un coût minime. Cependant, la visibilité offerte par les requêtes RPC et les signatures de smart contracts permet aux équipes de sécurité de mettre en place des contrôles efficaces. En appliquant les mesures décrites dans ce guide, vous réduirez considérablement le risque d’infection et renforcerez votre posture face aux menaces évolutives de 2026.