Aeternum C2 : le botnet qui stocke ses commandes sur la blockchain Polygon

Découvert et documenté publiquement par les chercheurs de Qrator Research Lab en février 2026, ce nouveau loader de botnet a fait une chose que ses prédécesseurs n'avaient jamais osé faire : il a complètement abandonné l'idée d'un serveur de commande traditionnel. À la place, ses opérateurs publient leurs instructions directement sur la blockchain publique Polygon — une infrastructure distribuée sur des milliers de nœuds à travers le monde, immuable, permanente, et sur laquelle personne n'a de prise.

Il n'y a littéralement rien à saisir.

Ce que sont les botnets — et pourquoi les C2 sont leur talon d'Achille

Un botnet est un réseau de machines infectées — ordinateurs personnels, serveurs, appareils IoT — qui reçoivent silencieusement des ordres d'un attaquant. Ces ordres transitent par un serveur dit C2 (Command & Control) : c'est le cerveau de l'opération.

Historiquement, le C2 était aussi le maillon faible. Un domaine à suspendre, une IP à bloquer, un hébergeur à contacter — et l'ensemble de l'infrastructure criminelle s'effondrait. C'est précisément ainsi que les autorités ont neutralisé :

• Emotet en janvier 2021 via une opération coordonnée Europol/FBI
• TrickBot via des injonctions légales contre son infrastructure d'hébergement
• QakBot en août 2023 lors de l'opération Duck Hunt

Vous pouvez vérifier si votre adresse email est présente dans les fuites de données associées à ces campagnes malveillantes directement avec notre outil Breach Checker, qui interroge la base HaveIBeenPwned en préservant votre anonymat via k-anonymity.

La blockchain comme canal C2 : pas une idée neuve, mais une exécution inédite

L'idée d'utiliser la blockchain pour renforcer la résilience d'un botnet n'est pas née avec Aeternum. En décembre 2021, Google annonçait avoir perturbé Glupteba, un botnet qui infectait plus d'un million de machines à travers le monde.

La subtilité de Glupteba ? Il utilisait la blockchain Bitcoin comme mécanisme de secours. Lorsque ses serveurs C2 principaux étaient coupés, les machines infectées interrogeaient automatiquement la blockchain pour y trouver, encodée dans des transactions OP_RETURN, l'adresse du prochain serveur de commande.

Google a réduit les infections de 78% lors de cette opération — mais Glupteba était de retour six mois plus tard, avec une campagne encore plus massive et une résilience renforcée.

La leçon ? Quand la blockchain est dans la boucle, même une victoire totale n'est que temporaire.

Aeternum va un cran plus loin. Il n'utilise pas la blockchain comme plan B. C'est son unique infrastructure, dès le premier jour.

Aeternum C2 : dissection technique

Un loader C++ natif, discret et polyvalent

Aeternum est un loader écrit en C++ natif, disponible en versions 32 et 64 bits, compatible avec la quasi-totalité des environnements Windows. Vaadata Sa fonction première est simple : recevoir des ordres et les exécuter. Sa force réside dans la façon dont ces ordres lui parviennent.

La blockchain comme colonne vertébrale

Plutôt que de communiquer avec des adresses IP codées en dur ou des domaines enregistrés, les machines infectées récupèrent leurs instructions directement depuis la blockchain Polygon, où les transactions sont enregistrées publiquement et ne peuvent pas être supprimées. Cyber University

Le flux technique, tel que documenté par les chercheurs de Ctrl Alt Intel et repris par Qrator Labs, est le suivant :

1. L'opérateur accède à un panneau web (développé en Next.js — ironie du sort pour une plateforme de cybersécurité) et déploie un smart contract sur Polygon
2. Depuis ce panneau, il sélectionne un contrat, choisit un type de commande, et spécifie l'URL d'un payload
3. La commande est chiffrée en AES-256-GCM et inscrite dans une transaction blockchain
4. Chaque machine infectée interroge les endpoints RPC publics de Polygon via un appel JSON-RPC standard :

json

{ "method": "eth_call", "params": [{ "to": "0x4d70C3393C5d9EC325Edf8b3f289cFA9777e64B0", "data": "0xb68d1809" }, "latest"] }

1. La réponse est déchiffrée localement et exécutée

Selon la documentation du vendeur, tous les bots actifs reçoivent leurs nouvelles instructions en deux à trois minutes — plus rapide et plus fiable que les botnets peer-to-peer traditionnels. Guardia School

Types de commandes supportées

Depuis le tableau de bord, l'opérateur peut cibler l'ensemble du réseau ou une machine spécifique via son identifiant matériel (HWID), et déployer :

Commande

Effet

all:url:<URL>

Exécuter un payload sur toutes les machines

all:savestartupname:<n>:url:<URL>

Payload + persistance au démarrage

hwid:url:<URL>

Ciblage unitaire d'une machine

DLL loader

Injection de DLL arbitraires

Clipper

Substitution d'adresses crypto en mémoire

Cryptominer

Exploitation des ressources CPU/GPU

RAT

Accès distant à la machine infectée

L'opérateur peut gérer plusieurs smart contracts simultanément, chacun servant potentiellement un payload ou une fonction différente. Créa-blog

Un business model clé en main à 200 dollars

Aeternum n'est pas un projet de recherche interne ou une opération d'État. C'est un produit commercial, vendu ouvertement sur les forums clandestins depuis décembre 2025 par un acteur connu sous le pseudonyme LenAI, qui en faisait la promotion en vantant une livraison des commandes entièrement sur smart contracts, sans besoin d'infrastructure centrale. Digicert

Grille tarifaire

Offre

Prix

Licence lifetime (panel + build configuré)

200 USD

Code source C++ complet + mises à jour

4 000 USD

Des coûts opérationnels quasi nuls

Les coûts opérationnels sont dérisoires : 1 dollar en MATIC, le token natif de Polygon, suffit pour financer 100 à 150 transactions de commande. L'opérateur n'a pas besoin de louer des serveurs, d'enregistrer des domaines, ou de maintenir une quelconque infrastructure au-delà d'un wallet crypto et d'une copie locale du panel. Digicert

C'est la démocratisation de la menace. N'importe quel acteur malveillant avec 200 dollars et un wallet MetaMask peut aujourd'hui opérer un botnet structurellement difficile à démanteler.

L'arsenal d'évasion

Au-delà de son infrastructure blockchain, Aeternum intègre plusieurs mécanismes pour maximiser sa durée de vie sur les systèmes infectés.

Anti-virtualisation

Le malware intègre une détection anti-VM, bloquant son exécution dans les environnements virtualisés typiquement utilisés par les éditeurs d'antivirus et les analystes de malwares. Vaadata Si le binaire détecte qu'il tourne dans une sandbox, il s'arrête proprement — sans laisser de traces exploitables pour les chercheurs.

Scanner AV intégré

Le vendeur inclut un scanner de détection temps réel alimenté par l'API Kleenscan. Lors des tests effectués par Qrator Labs, seulement 12 des 37 moteurs antivirus ont détecté l'échantillon. CrowdStrike, Avast, Avira et ClamAV ont tous retourné un résultat propre. Vaadata

Cette fonctionnalité est intégrée directement dans le panel : avant chaque déploiement, l'opérateur peut tester son build et itérer jusqu'à obtenir un taux de détection satisfaisant.

Camouflage réseau

Les requêtes vers les endpoints RPC de Polygon (infrastructure utilisée par des milliers d'applications légitimes dont Polymarket, la plus grande plateforme de marchés prédictifs au monde) se fondent naturellement dans le trafic blockchain normal. Un pare-feu ou un IDS traditionnel ne verra pas de signaux anormaux.

Vous voulez analyser les headers HTTP d'une connexion suspecte ou identifier les technologies exposées par un serveur ? Notre outil HTTP Headers vous permet d'inspecter en détail les en-têtes de réponse de n'importe quel hôte.

Ce qui change structurellement pour les défenseurs

La saisie traditionnelle de domaines et de serveurs ne stoppera pas un canal C2 sur blockchain. Les équipes de sécurité doivent se concentrer sur la détection endpoint, la surveillance comportementale et des contrôles applicatifs stricts pour détecter les exécutables suspects en amont. Metsys

Les défenseurs qui ont passé des années à démanteler des botnets via la saisie d'infrastructure font face à un modèle où cette stratégie ne fonctionne tout simplement pas — et Aeternum semble être la première implémentation commerciale à rendre le C2 blockchain un produit clé en main. Cyber University

Recommandations pratiques

1. Supervision des endpoints RPC Polygon Évaluer la possibilité de monitorer — ou filtrer en contexte sensible — les connexions sortantes vers les endpoints RPC Polygon connus, sans bloquer l'ensemble du trafic blockchain légitime.

2. Détection comportementale avant signature Prioriser les EDR capables de détecter des comportements suspects : checks anti-VM inhabituels, chargement de DLL non signées, appels RPC JSON vers des domaines blockchain. La signature statique ne suffira pas.

3. Contrôle applicatif strict (whitelisting) Empêcher l'exécution de tout binaire non signé ou non référencé dans une liste blanche applicative — Aeternum ne peut pas s'exécuter s'il ne peut pas lancer son loader.

4. Mitigation DDoS proactive Comme le souligne Qrator Labs : si de tels botnets ne peuvent plus être arrêtés à la source, les défenseurs doivent se concentrer sur le filtrage du trafic malveillant en périphérie du réseau. Metsys

5. Veille sur les données d'exposition Vérifiez régulièrement l'exposition de vos domaines et adresses IP avec nos outils WHOIS, IP Lookup et Subdomain Finder pour réduire votre surface d'attaque visible.

Le précédent qui devrait inquiéter : et si Aeternum n'était que le début ?

Même si Aeternum lui-même ne devient pas massivement adopté, le C2 sur blockchain est désormais un produit clé en main sur le marché underground. Le modèle est solide, et d'autres développeurs de malwares vont itérer dessus. Cyber University

C'est précisément ce que l'histoire de Glupteba nous a enseigné. Quand une technique d'évasion nouvelle est prouvée viable, elle devient un standard de l'industrie criminelle. Il a fallu moins de deux ans entre la première utilisation documentée de Bitcoin comme C2 de secours par Glupteba et la multiplication des copycats.

Avec Aeternum, quelqu'un a franchi l'étape suivante : rendre le C2 blockchain primaire, commercial, et accessible à 200 dollars. Le compteur est lancé.

Conclusion : un changement de paradigme, pas une anomalie

Aeternum C2 n'est pas le malware le plus sophistiqué techniquement jamais analysé. Pas de zero-day, pas d'exploit noyau, pas de techniques d'injection mémoire révolutionnaires. Ce qui le rend dangereux, c'est son modèle architectural : une infrastructure de commande immuable, permanente, décentralisée, opérée pour quelques dollars, et distribuée en kit clé en main sur les forums clandestins.

Même si le malware est supprimé de l'intégralité des machines infectées, l'opérateur peut redéployer en utilisant les mêmes smart contracts sans reconstruire quoi que ce soit. Cyber University

Les outils classiques de démantèlement — saisies, injonctions, sinkholing — ne fonctionnent pas ici. La défense doit se déplacer vers la détection comportementale, le contrôle endpoint, et la surveillance du trafic réseau de niveau 2. C'est une reconfiguration profonde des priorités défensives.

La blockchain a tenu sa promesse d'immuabilité. Pour une fois, ce n'est pas une bonne nouvelle.

Cet article s'appuie sur les recherches publiées par Qrator Research Lab, The Hacker News, SecurityWeek, Infosecurity Magazine et Security Affairs. Les IoCs et indicateurs de compromission sont disponibles dans le rapport technique complet de Qrator Labs.

Les données volées par ces botnets — emails, credentials, adresses crypto — alimentent directement les campagnes d'ingénierie sociale. Si vous n'avez pas encore lu notre analyse sur comment vos données publiques deviennent une arme entre les mains des attaquants, c'est le complément naturel de cet article.