El marco de comando y control (C2) de código abierto conocido como AdaptixC2 está siendo utilizado por un número creciente de actores de amenazas, algunos de los cuales están relacionados con bandas rusas de ransomware.
AdaptixC2 es un marco de emulación adversario y post-explotación extensible emergente diseñado para pruebas de penetración. Si bien el componente del servidor está escrito en Golang, el cliente GUI está escrito en C++ QT para compatibilidad multiplataforma.
Viene con una amplia gama de funciones, que incluyen comunicaciones totalmente cifradas, ejecución de comandos, administradores de credenciales y capturas de pantalla y una terminal remota, entre otras. Un usuario de GitHub llamado «RalfHacker» (@HackerRalf on X) lanzó públicamente una de las primeras versiones en agosto de 2024, y se describe a sí mismo como un probador de penetración, operador del equipo rojo y «MalDev» (abreviatura de desarrollador de malware).
En los últimos meses, AdaptixC2 ha sido adoptado por varios grupos de hackers, incluidos actores de amenazas vinculados a las operaciones de ransomware Fog y Akira, así como por un corredor de acceso inicial que ha aprovechado CountLoader en ataques diseñados para ofrecer diversas herramientas posteriores a la explotación.
La Unidad 42 de Palo Alto Networks, que desglosó los aspectos técnicos del marco el mes pasado, lo caracterizó como un marco modular y versátil que se puede utilizar para «controlar integralmente las máquinas afectadas» y que se ha utilizado como parte de estafas falsas de llamadas de soporte técnico a través de Microsoft Teams y mediante un script de PowerShell generado por inteligencia artificial (IA).
Si bien AdaptixC2 se ofrece como una herramienta ética y de código abierto para actividades de equipos rojos, también está claro que ha atraído la atención de los ciberdelincuentes.
La empresa de ciberseguridad Silent Push dijo que la biografía de RalfHacker en GitHub acerca de que eran un «MalDev» desencadenó una investigación, lo que les permitió encontrar varias direcciones de correo electrónico para cuentas de GitHub vinculadas al propietario de la cuenta, además de un canal de Telegram llamado RalfHackerChannel, donde volvieron a compartir mensajes publicados en un canal dedicado para AdaptixC2. El canal RalfHackerChannel tiene más de 28.000 suscriptores.
En un mensaje en el canal AdaptixFramework en agosto de 2024, mencionaron su interés en iniciar un proyecto sobre un «C2 público, que está muy de moda en este momento» y esperaban «que sea como Empire», otro marco popular de emulación de adversarios y posterior a la explotación.
Si bien actualmente no se sabe si RalfHacker tiene alguna participación directa en actividad maliciosa vinculada a AdaptixC2 o CountLoader en esta etapa, Silent Push dijo que sus «vínculos con la clandestinidad criminal de Rusia, a través del uso de Telegram para marketing y el posterior aumento de la utilización de la herramienta por parte de actores de amenazas rusos, generan importantes señales de alerta».
The Hacker News se comunicó con RalfHacker para hacer comentarios y actualizaremos la historia si recibimos una respuesta.