文章总结： 研究人员发现首个商业化区块链C2僵尸网络Aeternum，其指令存储在Polygon区块链上，无法通过传统查封域名或服务器方式摧毁。该网络成本低、更新快，具备反虚拟机检测能力，可用于DDoS、数据窃取等攻击。防御策略需转向终端检测、行为监控和网络流量过滤。 综合评分： 78 文章分类： 恶意软件,威胁情报,区块链安全,网络安全,渗透测试

首个区块链C2僵尸网络Aeternum问世，传统查封手段彻底失效

FreeBuf

2026年2月28日 18:07 上海

#

多年来，捣毁一个僵尸网络通常意味着找到它的命令与控制（C2）服务器、查封域名，然后看着这个网络彻底瘫痪。执法部门曾用这种方法成功摧毁了Emotet、TrickBot和QakBot等大型犯罪团伙。

然而，新发现的名为Aeternum C2的僵尸网络加载器，专门设计用来堵住这道防御之门——它所有的指令都不存储在服务器或域名上，而是直接记录在Polygon区块链中。Polygon是一条公共区块链，在全球数千个节点上同步复制，确保数据永不丢失。

由于没有单一的服务器可以查封，也没有域名可以暂停，无论任何权威机构或平台采取什么行动，这套基础设施都能持续运作。对于那些多年来依靠查封基础设施来瓦解僵尸网络的安全防御者来说，现在面临一个让传统策略完全失效的新模型。Aeternum似乎是首个将基于区块链的C2打造成即用型产品的商业化实现。

Qrator Labs的分析师在监控网络犯罪活动时发现了这个加载器。他们注意到，该加载器采用原生C++编写，并提供32位和64位两种版本。

#

Part01

区块链C2架构：

运行原理与规避机制

研究人员发现，发送给受感染设备的每条命令都作为交易记录在Polygon区块链上，僵尸程序通过公共远程过程调用（RPC）端点读取这些命令。根据卖家文档，所有活跃僵尸程序能在两到三分钟内接收更新——比传统点对点僵尸网络更快、更稳定。

该僵尸网络在地下论坛以两种形式销售：包含预配置构建的终身许可证，或提供持续更新的完整C++源代码。运行成本极低：仅需价值约q的MATIC（Polygon原生代币）即可支持100到150次命令交易。由于无需租用服务器或注册域名，维护弹性僵尸网络的运营成本几乎为零，使得更多威胁行为者能够轻易获取。

基于此模型的僵尸网络潜在危害远超单个攻击活动。一旦部署，它们可以不受干扰地扩张，用于大规模DDoS攻击、凭据填充、点击欺诈、代理即服务滥用和数据窃取。即使彻底清理受感染设备，攻击者的智能合约仍完好无损，意味着随时可以完整重新部署而无需重建基础设施。

Part02

操作流程与反检测机制

攻击者通过基于网页的控制面板管理一切。从这个界面中，攻击者选择智能合约、指定命令类型——无论是针对所有僵尸程序、按硬件ID（HWID）ping特定设备，还是推送DLL加载程序——然后提供有效载荷URL并将更新发布到区块链。

链上确认后，除钱包所有者外无人能修改或删除命令。攻击者可同时运行多个合约，每个合约对应不同功能，如剪贴板窃取器、信息窃取器、远程访问工具（RAT）或挖矿程序。

Aeternum还包含反虚拟机检测功能，会阻止在杀毒厂商和恶意软件分析师常用的虚拟化环境中执行。卖家捆绑了由Kleenscan API驱动的扫描时检测器。测试显示，37个检测引擎中只有12个标记了样本，而CrowdStrike、Avast、Avira和ClamAV在测试时均返回清洁结果。

Part03

防御策略转型

传统的域名查封和服务器关停无法阻止基于区块链的C2通道。安全团队应聚焦终端检测、行为监控和严格的应用程序控制，及早发现可疑可执行文件。网络防御者应评估是否能在不影响合法操作的情况下，监控或限制对已知Polygon RPC端点的出站连接。

由于基础设施层面的关停对此模型不再有效，在网络边缘实施主动流量过滤仍是最可靠的防御手段。

参考来源：

Researchers Uncover Aeternum C2 Infrastructure with Advanced Persistence and Network Evasion Features

Researchers Uncover Aeternum C2 Infrastructure with Advanced Persistence and Network Evasion Features

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《首个区块链C2僵尸网络Aeternum问世，传统查封手段彻底失效》