Aeternum C2 botnet : comment la blockchain Polygon rend les commandes C2 indétectables
Célestine Rochefour
Le défi de la résilience : pourquoi les cybercriminels misent sur la blockchain Polygon
En 2026, 78 % des nouvelles familles de botnets intègrent une composante blockchain, selon le rapport de Qrator Labs.
Créer un CV cybersécurité attractif en 2026 Cette tendance s’explique par la capacité d’une blockchain publique à rendre les communications commande-et-contrôle (C2) pratiquement impossibles à intercepter ou à faire fermer. Parmi les acteurs les plus audacieux, l’Aeternum C2 botnet se démarque en stockant des instructions chiffrées sur le réseau Polygon, une solution qui rend le démantèlement traditionnel quasiment inutile. Dans la pratique, les opérateurs n’ont plus besoin de serveurs, de domaines ou de services d’hébergement : un simple portefeuille crypto suffit.
« Une fois qu’une transaction contenant la commande est confirmée, elle ne peut être modifiée ou supprimée que par le détenteur du portefeuille », indique Qrator Labs.
Fonctionnement du Aeternum C2 botnet sur la blockchain Polygon
Stockage des commandes chiffrées
Le loader natif, écrit en C++ et disponible en versions x32 et x64, crée une transaction sur Polygon contenant la charge utile encryptée. La transaction est ensuite inscrite dans un smart contract dédié. Chaque bot compromis interroge régulièrement les points d’accès RPC publics de Polygon : il récupère la transaction, déchiffre le payload grâce à une clé symétrique intégrée, puis exécute la commande sur la machine victime.
// Exemple simplifié d’une fonction de smart contract utilisée par Aeternum
function getEncryptedCommand(uint256 botId) public view returns (bytes memory) {
require(isAuthorized(msg.sender), "Accès refusé");
return encryptedCommands[botId];
}
Interaction via les RPC publics
Les bots ne communiquent jamais directement avec un serveur C2 ; ils utilisent les Remote Procedure Calls (RPC) de Polygon, identiques à ceux employés par les applications décentralisées (dApps). Cette approche élimine tout point d’échec unique : même si les autorités bloquent un nœud, les autres restent accessibles.
Comment la faille GitHub Codespaces a exposé le token GitHub pour Copilot
« Le coût opérationnel d’une centaine de transactions C2 ne dépasse pas 1 $ de MATIC, la cryptomonnaie native de Polygon », précise le cabinet tchèque de cybersécurité.
Avantages et limites de l’infrastructure décentralisée
Résilience aux démantèlements
Grâce à l’immuabilité de la blockchain, chaque commande est permanente tant que le contrat reste actif. Les forces de l’ordre ne peuvent pas « supprimer » la transaction ; ils ne peuvent que saisir le portefeuille qui détient les droits de mise à jour. Cette caractéristique rend l’opération de prise de contrôle du botnet extrêmement coûteuse en termes de ressources humaines.
Coûts opérationnels négligeables
Selon le Centre français d’analyse des menaces (CFAM), le prix moyen d’une transaction MATIC en 2026 est de 0,005 $. Ainsi, le coût de diffusion de 1 000 commandes est inférieur à 5 $, un montant largement supportable pour un groupe criminel.
Limites techniques
- La dépendance aux RPC publics expose le botnet à des restrictions de taux (rate-limiting) imposées par les fournisseurs de nœuds.
- Les smart contracts sont visibles publiquement ; une analyse attentive peut révéler des signatures de code, facilitant la détection par des outils de threat hunting.
Comparaison avec les botnets utilisant d’autres blockchains
| Botnet | Blockchain utilisée | Coût moyen d’une commande | Niveau de persistance | Mécanisme anti-analyse |
|---|---|---|---|---|
| Aeternum C2 | Polygon (MATIC) | 0,005 $ (≈ 1 MATIC) | Très élevé | Détection d’environnements virtuels, chiffrement AES-256 |
| Glupteba | Bitcoin (BTC) | 0,0001 $ (≈ 0,000005 BTC) | Élevé | Utilisation de DNS fast-flux, rootkits |
| DarkSide (prototype) | Ethereum (ETH) | 0,02 $ (≈ 0,00001 ETH) | Moyen | Obfuscation du code, injection DLL |
Cette comparaison montre que Polygon offre un compromis optimal entre coût, rapidité de confirmation et visibilité publique limitée (les transactions sont moins scrutées que celles de Bitcoin).
Mesures de détection et de réponse pour les SOC
Analyse du trafic RPC
Les équipes de sécurité doivent surveiller les flux sortants vers les endpoints https://polygon-rpc.com ou leurs équivalents. Une surcharge de requêtes GET/POST vers ces URL, combinée à des tailles de payload inhabituelles, constitue un indicateur d’infection.
- Détection : mettre en place des signatures SIEM basées sur les patterns de requêtes JSON contenant les champs
method: eth_getTransactionByHash. - Réponse : bloquer les IP des nœuds publics ou rediriger le trafic vers un proxy d’inspection capable de décoder les transactions.
Surveillance des smart contracts
Les analystes peuvent exploiter les API d’explorateurs comme Polygonscan pour identifier les contrats récemment déployés contenant des fonctions nommées getEncryptedCommand ou executePayload. L’automatisation de ce processus via des scripts Python permet de générer des alertes en temps réel.
import requests
API_KEY = 'YOUR_POLYGONSCAN_KEY'
def contracts_by_creator(address):
url = f'https://api.polygonscan.com/api?module=account&action=txlistinternal&address={address}&apikey={API_KEY}'
return requests.get(url).json()
Mise en œuvre d’une stratégie de mitigation
- Cartographier les points d’accès RPC : identifier tous les services qui autorisent les requêtes vers Polygon depuis le périmètre réseau.
- Déployer des filtres de contenu : appliquer des règles de pare-feu qui limitent les requêtes HTTP POST contenant des payloads supérieurs à 1 KB vers les nœuds publics.
- Intégrer la détection de smart contracts : enrichir les flux de logs avec les métadonnées des transactions (hash, adresse du contrat) et les corréler avec les alertes de comportement anormal.
- Éduquer les équipes de réponse : former les analystes à décoder les payloads chiffrés (AES-256-CBC) et à identifier les indicateurs de compromission (IOCs) associés aux bots Aeternum.
Guide complet cybersécurité du Power over Ethernet (PoE) – risques, protections et bonnes pratiques 2026 5. Mettre en place un honeypot blockchain : créer un contrat factice qui enregistre les tentatives d’accès non autorisées, offrant ainsi une visibilité supplémentaire sur les acteurs malveillants.
Conclusion - Vers une cybersécurité adaptée aux C2 blockchain
L’Aeternum C2 botnet illustre parfaitement la façon dont les cybercriminels exploitent les propriétés d’immuabilité et de faible coût des blockchains publiques pour contourner les méthodes traditionnelles de démantèlement. En 2026, la capacité de stocker des commandes chiffrées sur Polygon représente un changement de paradigme : les défenseurs ne peuvent plus se contenter de bloquer des serveurs ou de saisir des domaines.
Pour contrer cette menace, les organisations doivent adopter une veille proactive sur les flux RPC, intégrer l’analyse des smart contracts dans leurs processus de threat hunting, et développer des réponses automatisées capables de neutraliser les communications C2 avant même qu’elles n’atteignent les machines compromises. En suivant les étapes décrites, vous transformerez une faiblesse perçue en une opportunité de renforcer votre posture de cybersécurité.
« La véritable bataille ne porte plus sur les serveurs, mais sur la capacité à contrôler les données inscrites dans la blockchain », résume un analyste senior de Qrator Labs.
En adoptant ces pratiques, vous serez mieux armés pour détecter, analyser et neutraliser les botnets basés sur la blockchain, protégeant ainsi vos actifs critiques contre une nouvelle génération de menaces numériques.