El situación de comando y control (C2) de código rajado conocido como AdaptixC2 está siendo utilizado por un número creciente de actores de amenazas, algunos de los cuales están relacionados con bandas rusas de ransomware.
AdaptixC2 es un situación de competencia adversario y post-explotación desplegable emergente diseñado para pruebas de penetración. Si aceptablemente el componente del servidor está escrito en Golang, el cliente GUI está escrito en C++ QT para compatibilidad multiplataforma.
Viene con una amplia grado de funciones, que incluyen comunicaciones totalmente cifradas, ejecución de comandos, administradores de credenciales y capturas de pantalla y una terminal remota, entre otras. Un afortunado de GitHub llamado «RalfHacker» (@HackerRalf on X) lanzó públicamente una de las primeras versiones en agosto de 2024, y se describe a sí mismo como un probador de penetración, cirujano del equipo rojo y «MalDev» (sigla de desarrollador de malware).
En los últimos meses, AdaptixC2 ha sido prohijado por varios grupos de hackers, incluidos actores de amenazas vinculados a las operaciones de ransomware Fog y Akira, así como por un corredor de ataque original que ha trabajador CountLoader en ataques diseñados para ofrecer diversas herramientas posteriores a la explotación.
La Dispositivo 42 de Palo Stop Networks, que desglosó los aspectos técnicos del situación el mes pasado, lo caracterizó como un situación modular y versátil que se puede utilizar para «controlar integralmente las máquinas afectadas» y que se ha utilizado como parte de estafas falsas de llamadas de soporte técnico a través de Microsoft Teams y mediante un script de PowerShell generado por inteligencia industrial (IA).
Si aceptablemente AdaptixC2 se ofrece como una utensilio ética y de código rajado para actividades de equipos rojos, además está claro que ha atraído la atención de los ciberdelincuentes.
La empresa de ciberseguridad Silent Push dijo que la hazañas de RalfHacker en GitHub acerca de que eran un «MalDev» desencadenó una investigación, lo que les permitió encontrar varias direcciones de correo electrónico para cuentas de GitHub vinculadas al propietario de la cuenta, adicionalmente de un canal de Telegram llamado RalfHackerChannel, donde volvieron a compartir mensajes publicados en un canal dedicado para AdaptixC2. El canal RalfHackerChannel tiene más de 28.000 suscriptores.
En un mensaje en el canal AdaptixFramework en agosto de 2024, mencionaron su interés en iniciar un plan sobre un «C2 manifiesto, que está muy de moda en este momento» y esperaban «que sea como Empire», otro situación popular de competencia de adversarios y posterior a la explotación.
Si aceptablemente actualmente no se sabe si RalfHacker tiene alguna décimo directa en actividad maliciosa vinculada a AdaptixC2 o CountLoader en esta etapa, Silent Push dijo que sus «vínculos con la clandestinidad criminal de Rusia, a través del uso de Telegram para marketing y el posterior aumento de la utilización de la utensilio por parte de actores de amenazas rusos, generan importantes señales de alerta».
The Hacker News se comunicó con RalfHacker para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
