O framework open-source de command-and-control (C2) AdaptixC2 vem ganhando popularidade entre diversos grupos de cibercriminosos, incluindo algumas gangues de ransomware ligadas à Rússia.
Desenvolvido para pós-exploração extensível e emulação adversarial, o AdaptixC2 foi criado para testes de penetração.
O servidor é programado em Golang, enquanto o cliente com interface gráfica (GUI client) é desenvolvido em C++ QT, garantindo compatibilidade multiplataforma.
O framework oferece recursos robustos, como comunicações totalmente criptografadas, execução remota de comandos, gerenciadores de credenciais, captura de telas e um terminal remoto, entre outros.
A primeira versão pública do AdaptixC2 foi lançada no GitHub em agosto de 2024 por um usuário identificado como "RalfHacker" (@HackerRalf no X), que se apresenta como pentester, operador de red team e “MalDev” (abreviação para desenvolvedor de malware).
Nos últimos meses, o AdaptixC2 vem sendo adotado por diferentes grupos de hackers, incluindo agentes ligados às operações de ransomware Fog e Akira.
Além disso, um broker de acesso inicial vem utilizando o loader CountLoader para distribuir ferramentas variadas de pós-exploração em ataques coordenados.
A equipe Unit 42, da Palo Alto Networks, analisou o framework no mês passado, destacando sua modularidade e versatilidade, capaz de "controlar máquinas comprometidas de forma abrangente".
Também identificaram que o AdaptixC2 tem sido explorado em golpes de suporte falso via Microsoft Teams, incluindo o uso de scripts PowerShell gerados por inteligência artificial (IA).
Embora o AdaptixC2 tenha sido criado como uma ferramenta ética e open-source para red teaming, fica evidente o interesse significativo de criminosos cibernéticos em seu uso.
A empresa de segurança Silent Push iniciou investigação após notar a autoidentificação de RalfHacker como “MalDev” na bio do GitHub.
A partir daí, foram encontrados vários endereços de e-mail vinculados à conta, além de um canal no Telegram chamado RalfHackerChannel, com mais de 28 mil inscritos, onde são republicadas mensagens sobre o AdaptixC2.
Em uma postagem no canal AdaptixFramework, em agosto de 2024, o criador manifestou interesse em lançar um projeto de “C2 público, que está muito em alta no momento”, com a expectativa de que o novo projeto “seja como o Empire”, outro conhecido framework para pós-exploração e emulação adversarial.
Ainda não há evidências de que RalfHacker esteja diretamente envolvido em atividades maliciosas relacionadas ao AdaptixC2 ou CountLoader.
No entanto, a Silent Push aponta que “as conexões do desenvolvedor com o submundo criminoso russo, o uso do Telegram para divulgação e o aumento do uso da ferramenta por ameaças russas levantam sérios sinais de alerta”.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...