كشف باحثون في الأمن السيبراني عن أداة تحميل خبيثة جديدة تحمل اسم Aeternum C2، تعتمد على بنية بلوكتشين لتشغيل بنيتها الخاصة بالتحكم والسيطرة (C2). بدلاً من استخدام خوادم أو نطاقات تقليدية، يقوم هذا البوت نت بتخزين أوامره داخل شبكة Polygon العامة، وهي شبكة تُستخدم على نطاق واسع في التطبيقات اللامركزية مثل منصة Polymarket. هذه الاستراتيجية تجعل البنية التحتية للبوت نت شبه دائمة ومحصنة ضد أساليب الإيقاف التقليدية التي تعتمد على تعطيل الخوادم أو حجب النطاقات.
تفاصيل تقنية وآلية عمل البوت نت
ظهر اسم Aeternum C2 لأول مرة في ديسمبر 2025 عندما كشفت مختبرات KrakenLabs التابعة لـ Outpost24 أن جهة تهديد تُعرف باسم LenAI كانت تعرض الأداة للبيع في منتديات سرية. السعر تراوح بين 200 دولار للحصول على نسخة مُهيأة مع لوحة تحكم، وصولاً إلى 4000 دولار للحصول على الكود الكامل بلغة C++ مع تحديثات مستقبلية.
يعتمد البوت نت على Loader بلغة C++ متاح بإصدارات x32 وx64، ويعمل عبر كتابة الأوامر في عقود ذكية على شبكة Polygon. الأجهزة المصابة تستعلم هذه العقود عبر واجهات RPC عامة، وتستخرج الأوامر المشفرة التي تُفك لاحقاً وتُنفذ على الضحايا.
من خلال لوحة تحكم مبنية بتقنية Next.js، يمكن للمشغلين اختيار العقد الذكي، تحديد نوع الأمر، إدخال رابط الحمولة، ثم نشره كمعاملة على البلوكتشين. بمجرد تأكيد المعاملة، تصبح الأوامر متاحة لجميع الأجهزة المصابة، ولا يمكن تعديلها أو حذفها إلا من قبل صاحب المحفظة المرتبطة.
خصائص إضافية وتكتيكات التخفي
إلى جانب بنيته المقاومة للإيقاف، يتضمن Aeternum C2 خصائص مضادة للتحليل مثل فحص البيئات الافتراضية والتأكد من أن النسخ غير مرصودة من قبل برامج مكافحة الفيروسات عبر خدمة Kleenscan.
تكاليف التشغيل منخفضة للغاية، حيث يكفي دولار واحد من عملة MATIC لإجراء ما بين 100 إلى 150 معاملة أوامر. هذا يعني أن المهاجم لا يحتاج إلى استئجار خوادم أو تسجيل نطاقات، بل يكتفي بمحفظة رقمية ونسخة محلية من لوحة التحكم.
المثير أن المشغل LenAI حاول لاحقاً بيع المجموعة الكاملة مقابل 10,000 دولار، مدعياً انشغاله بمشاريع أخرى، وعرض منح حقوق إعادة البيع والاستخدام التجاري للمشتري.
خلفيات إضافية وخدمات مرتبطة
لم يكن LenAI وراء Aeternum فقط، بل طور أيضاً أداة أخرى باسم ErrTraffic، تتيح للمهاجمين تنفيذ هجمات ClickFix عبر توليد أعطال وهمية في المواقع المخترقة لإيهام المستخدمين بضرورة اتباع تعليمات خبيثة.
في السياق ذاته، نشرت شركة Infrawatch تفاصيل عن خدمة تحت الأرض تُعرف باسم DSLRoot، تعتمد على نشر أجهزة حاسوب محمولة في منازل أميركية لتحويلها إلى شبكة بروكسي سكنية. هذه الخدمة تستخدم برنامجاً باسم DSLPylon بلغة Delphi، قادر على التحكم عن بعد في أجهزة المودم المنزلية وأجهزة أندرويد عبر تكامل مع ADB.
التحقيقات نسبت الخدمة إلى شخص يُدعى Andrei Holas، وهو بيلاروسي يقيم بين مينسك وموسكو، ويُقدر أن الشبكة تضم نحو 300 جهاز نشط موزعة على أكثر من 20 ولاية أميركية. الخدمة تُباع عبر منتديات مثل BlackHatWorld بأسعار تبدأ من 190 دولار شهرياً، وتتيح للمشتركين تمرير حركة مرور خبيثة عبر عناوين IP سكنية أميركية دون مصادقة.
