文章总结： 该文档揭秘了利用Polygon区块链实现指令永存的AeternumC2僵尸网络，分析了其通过公共RPC节点隐蔽通信及智能合约存储指令的技术架构。文章指出该模式具有低成本、高隐蔽性特点，并提及黑产变现与物理代理威胁。最后建议通过监控RPC流量、强化EDR扫描及清理闲置资产进行防御，为应对新型链上僵尸网络提供了实战参考。 综合评分： 82 文章分类： 威胁情报,恶意软件,区块链安全,终端安全

只要 $1 就能操控上百台肉鸡？揭秘利用 Polygon 区块链“永生”的 Aeternum C2 僵尸网络

原创

Kit Chung Kit Chung

安全圈动向

2026年3月5日 07:59 广东

各位，大家好。最近追踪到的一篇安全报告与大家分享。传统的 C2 基础设施对抗，大多是在“封域名、堵端口、溯源码”里打转。但最近冒出来的 Aeternum C2，直接把整个 C2 指挥系统搬到了 Polygon（波多）区块链上。

简单说：只要区块链不倒，它的控制指令就永远删不掉。这简直是黑产界的“降维打击”。今天，咱们不聊虚的，直接拆解它的技术路径。

一、 通信范式转移：为什么是“不可阻断”的？

以往我们封杀僵尸网络，最常用的招数是接管 DGA 域名或者封禁 IP。但 Aeternum C2 玩了一手“大隐隐于市”：

• 利用合法 RPC 节点：

  受感染的 Bot 不直接连接黑客服务器，而是请求 Infura、Alchemy 等公共区块链 RPC 节点。对运维来说，这看起来就是普通的 Web3 业务流量。

• 零成本读取：

  虽然写入指令需要 Gas 费，但 Bot 读取指令调用的是 eth_call。这是只读操作，不产生任何 Gas 费，也不需要 Bot 拥有数字钱包。

• 极致性价比：

  $1 美元的 MATIC 就能发 100 多条指令。黑客省去了租高防 VPS 的钱，抗封锁能力还提升了几个数量级。

二、 硬核拆解：Aeternum 的技术架构

作为资深 IT 工程师，我们要关注它如何实现“面板 -> 合约 -> 终端”的逻辑闭环。

1. 智能合约：指令的“中继站”

Aeternum 在 Polygon 上部署了专门的智能合约。合约内含一个状态变量，存储经过加密的十六进制指令字符串。黑客通过 Next.js 编写的 Web 控制台，调用钱包签署交易，将新的 Payload 写入合约。

2. 隐蔽通信流：JSON-RPC 的滥用

Bot 内部集成了一个轻量级的 HTTP 客户端，它会定期发起如下结构的 JSON-RPC 请求：

技术难点： 由于 RPC 节点通常在各大云厂商的白名单里，这种流量极难被 IPS/IDS 系统识别为恶意行为。

3. 终端加载器（Loader）：原生 C++ 编写

它的 Loader 采用 C++ 原生开发，区分 x32/x64。为了延长感染寿命，它集成了：

• Anti-VM / Anti-SandBox：

  通过检测特定注册表项和 CPU 指令集，判断是否在沙箱环境中运行。

• 多功能Payload支持：

  从合约中拉取的指令可以动态加载不同模块，包括 Clipper（剪贴板劫持）、Stealer（信息窃取）、甚至是 Miner（挖矿）。

三、 成本与黑产变现：一个“退休”黑客的叫卖

有趣的是，开发者 LenAI 最近居然在暗网挂牌出售整个项目，开价 $10,000，理由是“没时间维护”。

“我将把整个项目转让给一个人，包括商业使用权、全部 C++ 源码、Next.js 后端，以及我在开发中还没来得及实现的‘避坑笔记’。”

这说明此类工具已经进入了模块化、商品化阶段。即便这个作者“收山”，买家也能立刻在短时间内利用这套成熟的“链上 C2”发起大规模攻击。

四、 进阶威胁：物理层面的“住宅代理”

除了 Aeternum 这种软件层面的创新，报告中还提到了一个名为 DSLRoot 的服务。他们通过寄送物理笔记本硬件到美国家庭，配合 DSLPylon 程序，将普通人的住宅网络变成了恶意流量的转发站。这种“硬件 + 区块链”的多维攻击模式，正在重塑我们的防御边界。

五、 总结与防御建议：我们该怎么防？

面对这种“永生”在链上的僵尸网络，传统的封禁逻辑已经捉襟见肘。作为 IT 管理者，我建议从以下三个维度入手：

1. 流量侧：

   建立内网主机对公共 RPC 节点访问的基线。如果发现非开发测试人员的机器在频繁请求 eth_call，必须触发高等级告警。

2. 端侧：

   强化 EDR 的行为扫描。不管指令从哪来，木马在本地的执行行为（如注入进程、修改剪贴板）是无法完全隐藏的。

3. 资产侧：

   定期清理陈旧的测试机，这些往往是物理代理（如 DSLRoot）最喜欢的“着陆点”。

技术是把双刃剑。 Web3 带来了去中心化的自由，也给了黑产“永生”的机会。作为开发者和工程师，我们必须跑在攻击者前面。

点个赞，转发给更多技术同僚，让我们一起筑牢安全防线！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《只要 $1 就能操控上百台肉鸡？揭秘利用 Polygon 区块链“永生”的 Aeternum C2 僵尸网络》