Aeternum C2 botnet : comment la blockchain Polygon rend les commandes invisibles et résistantes aux démantèlements

Hippolyte Valdegré

En 2026, plus de 12 % des nouvelles botnets emploient une forme de blockchain pour leurs serveurs de commandement et de contrôle (C2).

Comment créer un CV cybersécurité efficace Cette tendance bouleverse les méthodes classiques de détection et de neutralisation. Vous découvrirez comment le Aeternum C2 botnet exploite la blockchain Polygon afin de rendre ses instructions chiffrées quasi permanentes, tout en maintenant des coûts opérationnels négligeables.

Fonctionnement du C2 basé sur la blockchain Polygon

Le cœur du Aeternum C2 botnet repose sur un mécanisme novateur : chaque instruction destinée aux machines compromises est encodée puis inscrite dans un smart contract déployé sur la blockchain publique Polygon. Les bots, quant à eux, interrogent régulièrement les points d’accès RPC (Remote Procedure Call) afin de récupérer les transactions contenant les commandes.

Stockage des commandes chiffrées

  1. L’opérateur crée une transaction contenant les données : un identifiant de cible, le type de charge utile et l’URL du payload.
  2. Avant l’envoi, le contenu est chiffré avec une clé dérivée du portefeuille crypto du contrôleur.
  3. La transaction est diffusée sur le réseau Polygon ; une fois confirmée, elle devient immuable et consultable par tous les bots qui pollent le contrat.

« Une fois la commande confirmée, elle ne peut être modifiée ou supprimée que par le détenteur du wallet », indique le rapport de Qrator Labs (2026).

Lecture via les RPC publics

Les malwares exécutent une requête HTTP vers un endpoint RPC public :

# Exemple PowerShell pour interroger un smart contract Polygon
$rpcUrl = "https://polygon-rpc.com"
$payload = @{ jsonrpc = "2.0"; method = "eth_call"; params = @(@{ to = "0xContractAddress"; data = "0xMethodSignature" }, "latest"); id = 1 }
$response = Invoke-RestMethod -Method Post -Uri $rpcUrl -Body ($payload | ConvertTo-Json)
$command = $response.result # donnée chiffrée récupérée

Ce code illustre la façon dont le bot décodera la réponse pour exécuter la charge utile.

Avantages et limites de l’infrastructure décentralisée

L’utilisation d’une blockchain publique offre plusieurs bénéfices, mais introduit également des contraintes spécifiques.

Résilience face aux takedowns

  • Immuabilité : les transactions, une fois inscrites, ne peuvent être retirées sans le consentement du propriétaire du wallet.
  • Absence d’infrastructure serveur : aucun DNS ou adresse IP n’est exploité, ce qui élimine les points de rupture classiques.
  • Distribution mondiale : les nœuds Polygon sont répartis sur plusieurs continents, rendant les attaques de blocage géographique inefficaces.

Coûts opérationnels négligeables

Selon Qrator Labs, 1 $ de MATIC (token natif de Polygon) suffit pour financer entre 100 et 150 transactions de commande. Ainsi, même un acteur avec un budget limité peut maintenir un réseau C2 actif pendant plusieurs mois sans dépenses majeures.

Techniques d’évasion et anti-analyse intégrées

Outre le C2 basé sur la blockchain, le loader Aeternum intègre plusieurs mécanismes destinés à compliquer l’analyse par les sandboxes et les solutions AV.

Détection d’environnements virtualisés

Le malware interroge les registres système à la recherche de processus typiques de machines virtuelles (VMware, VirtualBox, Hyper‑V).

RoguePilot – vulnérabilité GitHub Codespaces et Copilot (VMware, VirtualBox, Hyper-V). En présence d’un tel environnement, il se met en veille ou s’auto-efface.

Obfuscation et chiffrement des payloads

Les charges utiles (stealer, RAT, miner) sont compressées puis chiffrées avec AES-256 avant d’être hébergées sur des serveurs externes. Le code de déchiffrement est lui-même empaqueté dans le smart contract, rendant l’analyse statique très difficile.

Comparaison avec les botnets précédents utilisant la blockchain

BotnetBlockchain utiliséeAnnée de découverteMéthode de C2Coût moyen par transaction
GluptebaBitcoin2021Adresse Bitcoin comme backup C20,5 $ (BTC)
Aeternum C2Polygon (MATIC)2025/2026Smart contracts avec commandes chiffrées1 $ (MATIC)
X-BotEthereum2023Smart contracts publics1,2 $ (ETH)

« L’opérateur n’a plus besoin de louer des serveurs ni d’enregistrer des domaines », souligne le même rapport (2026).

Mise en œuvre - étapes pour détecter et contrer ce type de C2

  1. Surveiller les requêtes RPC : mettez en place des filtres sur les flux réseau sortants vers les endpoints polygon-rpc.com ou similaires.
  2. Analyser les transactions blockchain : utilisez des API (Etherscan, Polygonscan) pour identifier les smart contracts contenant des données suspectes (payloads chiffrés).
  3. Déployer des honeypots : créez des environnements contrôlés qui imitent des bots et enregistrent les appels RPC pour extraire les commandes.
  4. Intégrer la détection de comportements anti-sandbox : alertez lorsqu’un processus cherche des indicateurs de virtualisation.
  5. Mettre à jour les signatures AV : partagez les indicateurs de compromission (IOCs) avec les fournisseurs de sécurité afin d’ajouter les hash des loaders et des payloads.

Checklist rapide pour les équipes SOC

  • Blocage des URL */polygon-rpc.com/* au niveau du firewall.

Guide complet du POEI en cybersécurité 2026

  • Enrichissement des logs avec les hash des exécutables détectés.
  • Alertes automatisées sur les spikes de transactions MATIC provenant d’adresses inconnues.

Conclusion - quelles mesures prendre dès maintenant

Le Aeternum C2 botnet illustre la nouvelle vague de menaces où la blockchain devient une infrastructure C2 permanente. En 2026, les acteurs malveillants tirent parti de la faible coût des transactions et de l’absence de points de rupture traditionnels. Pour protéger votre organisation, il est crucial d’adopter une posture proactive : surveiller les communications RPC, analyser les smart contracts suspects et renforcer les contrôles anti-sandbox. En agissant dès aujourd’hui, vous réduirez significativement le risque d’infection par ce type de botnet résilient.