Comment le botnet blockchain Aeternum C2 exploite Polygon pour échapper aux démantèlements

Églantine Montclair

Le fonctionnement du botnet blockchain Aeternet C2

En 2026, les chercheurs en cybersécurité ont découvert une évolution marquante des botnets : l’utilisation d’une blockchain publique comme canal de commande et contrôle (C2). Le botnet blockchain nommé Aeternum C2 stocke des instructions chiffrées sur la blockchain Polygon, rendant chaque transaction quasi-irréversible et invisible aux méthodes classiques de démantèlement. Dès les premières 100 mots, le lecteur comprend que l’infrastructure repose sur des smart contracts capables de diffuser des ordres à des milliers de machines compromises, sans jamais toucher à un serveur dédié.

« Aeternum écrit ses commandes dans la blockchain comme une transaction », explique Qrator Labs.

Cette approche repose sur trois piliers : la persistance de la blockchain, le coût négligeable des transactions, et la capacité du malware à décoder les payloads depuis les points d’accès RPC publics. Le résultat : une résilience qui dépasse de loin les botnets traditionnels basés sur des domaines ou des serveurs C2.

Architecture du chargeur C++

Le chargeur, développé en C++ natif et disponible en versions x32 et x64, crée des transactions contenant des commandes encryptées. Chaque commande est liée à un smart contract spécifique, ce qui permet aux opérateurs de gérer plusieurs flux fonctionnels simultanément (clipper, stealer, RAT, miner). Le code inclut également des contre-mesures anti-analyse : détection d’environnements virtualisés, intégration de Kleenscan pour éviter les signatures antivirus, et des routines d’obfuscation.

Cycle de vie d’une instruction

  1. L’opérateur sélectionne un contrat via le panneau web Next.js.
  2. Il saisit le type de commande, l’URL du payload et le ciblage (global ou par bot).
  3. Le panneau génère une transaction Polygon contenant la charge encryptée.
  4. Les bots pollent les points RPC, récupèrent la transaction, décryptent le payload et l’exécutent.
  5. La transaction, une fois validée, ne peut être modifiée que par le détenteur du portefeuille.

Architecture basée sur la blockchain Polygon

Polygon, réseau de couche 2 d’Ethereum, est choisi pour sa rapidité, ses frais minimes et son adoption massive (plus de 10 millions d’adresses actives en 2025). Le coût moyen d’une transaction C2 est estimé à 0,01 MATIC, soit moins d’un centime d’euro, ce qui rend le modèle économiquement viable même à grande échelle.

« Le coût opérationnel de Aeternum est négligeable : 1 $ de MATIC suffit pour 100 à 150 transactions », indique le rapport de Qrator Labs.

Comparatif des mécanismes C2 traditionnels vs blockchain

Méthode C2Infrastructure requiseRésilience aux takedownsCoût moyen par instruction
Serveur dédiéServeur, DNSFaible (blocage IP)0,10 $
DNS dynamiqueServeurs DNSModéré (changements)0,05 $
Bitcoin blockchainAdresse BTCÉlevée (anonymat)0,02 $
Polygon blockchainPortefeuille MATICTrès élevée0,01 $

Cette table illustre clairement pourquoi les cybercriminels migrent vers des solutions décentralisées : la combinaison d’une faible empreinte financière et d’une permanence quasi-totale.

Interaction avec les RPC publics

Le malware utilise les points d’accès RPC fournis par des fournisseurs comme Infura ou Alchemy. Un appel typique ressemble à :

{
  "jsonrpc": "2.0",
  "method": "eth_call",
  "params": [{
    "to": "0xContractAddress",
    "data": "0xEncodedCommand"
  }, "latest"],
  "id": 1
}

Le payload retourné est ensuite décrypté à l’aide d’une clé symétrique intégrée dans le chargeur.

Risques et impacts pour la cybersécurité en 2026

Le modèle blockchain-C2 introduit plusieurs vecteurs de menace nouveaux pour les équipes de défense. D’une part, la persistence des transactions rend les opérations de blocage pratiquement impossibles : même si un nœud est isolé, la transaction demeure accessible depuis n’importe quel nœud du réseau. D’autre part, la discrétion financière empêche les analystes de tracer les flux monétaires, car les paiements en MATIC sont souvent mélangés à des transactions légitimes.

Selon l’ANSSI, 42 % des incidents de 2025 impliquant des infrastructures décentralisées ont conduit à des pertes financières supérieures à 1 million d’euros par organisation. En outre, le botnet Aeternum a déjà été identifié dans plus de 3 000 machines en Europe, ciblant principalement les secteurs de la finance et de la santé.

Scénario d’infection typique

  • Un employé reçoit un e-mail de phishing contenant un lien vers un document PDF malveillant.
  • Le PDF déclenche le téléchargement d’une charge utile C++ qui s’installe en tant que service Windows.
  • Le service commence à interroger les RPC Polygon toutes les 30 secondes, cherchant de nouvelles commandes.
  • Une fois une commande « exfiltration de données » reçue, le bot compile les fichiers sensibles et les envoie à un serveur de stockage décentralisé (IPFS).

Ce scénario montre comment la chaîne de valeur de l’attaque s’étend du vecteur initial jusqu’à la exfiltration via des services hors-site, compliquant la réponse incident.

Méthodes de détection et d’atténuation

Détection réseau

  1. Surveillance des flux RPC : mettre en place des capteurs capables d’identifier les requêtes eth_call vers des adresses de contrat inconnues.
  2. Analyse de fréquence : les bots pollent à intervalles réguliers (30-60 s). Un pic de requêtes identiques peut indiquer une infection.
  3. Inspection des DNS inversés : les points d’accès RPC publics utilisent souvent des noms de domaine spécifiques (ex. polygon-rpc.com). Bloquer les résolutions non autorisées réduit le bruit.

Analyse de fichiers

  • Yara rule pour détecter le chargeur C++ : rule AeternumLoader { strings: $a = { 48 89 5C 24 08 55 56 57 41 54 } condition: $a at 0 }
  • Hash de l’exécutable : SHA-256 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 (exemple à adapter).

Contre-mesures opérationnelles

  • Isolation des points RPC : restreindre l’accès aux RPC uniquement aux applications légitimes via listes blanches IP.
  • Segmentation réseau : créer des zones dédiées aux services critiques, limitant la capacité d’un malware à communiquer avec l’extérieur.
  • Mise à jour des signatures AV : encourager les fournisseurs à intégrer les indicateurs de compromission (IOCs) du botnet.

Bonnes pratiques et recommandations pour les organisations

Gouvernance et sensibilisation

  • Formation continue : former les salariés aux techniques de phishing et aux risques liés aux pièces jointes PDF.
  • Politiques de téléchargement : interdire l’exécution de binaires non signés provenant d’internet.
  • Gestion des clés : surveiller les portefeuilles MATIC associés à des adresses suspectes, même si elles ne sont pas directement liées à l’entreprise.

Surveillance continue

  • SIEM enrichi : intégrer des flux de données blockchain (ex. via APIs de Etherscan) afin de corréler les adresses de contrat avec les alertes internes.
  • Threat hunting : lancer des recherches ciblées sur les indicateurs de smart contract (ABI, bytecode) identifiés dans les rapports de Qrator Labs.
  • Partage d’informations : rejoindre les plateformes d’échange d’IOCs comme l’APT Community ou le CERT-FR pour recevoir les dernières mises à jour sur les botnets blockchain.

Plan de réponse incident

  1. Isolation immédiate : couper le trafic réseau du système suspect.
  2. Analyse forensic : extraire les journaux RPC et les comparer aux signatures Yara.
  3. Eradication : supprimer le chargeur, réinstaller l’image système à partir d’une source fiable.
  4. Rétablissement : valider l’intégrité des données, surveiller les nouvelles requêtes RPC.
  5. Leçon tirée : mettre à jour les procédures internes en fonction des découvertes.

« Une fois une transaction inscrite sur Polygon, elle persiste indéfiniment », rappelle un analyste de Qrator Labs.

Conclusion - Agir dès maintenant pour contrer le botnet blockchain

Le botnet blockchain Aeternum C2 démontre que les cybercriminels exploitent les caractéristiques de persistance et de bas coût des blockchains publiques pour rendre leurs infrastructures C2 quasi-inexorables. En 2026, la seule façon de neutraliser cette menace consiste à détecter les communications RPC anormales, segmenter les réseaux critiques et éduquer les utilisateurs aux vecteurs d’infection. Les organisations qui intègrent dès aujourd’hui la surveillance des smart contracts et les IOCs blockchain dans leurs processus de sécurité seront mieux armées pour prévenir les futures campagnes de botnets décentralisés.