AdaptixC2: el marco C2 de código abierto adoptado por ciberdelincuentes rusos

El marco de comando y control (C2) de código abierto AdaptixC2 se ha convertido en una preocupación creciente dentro del panorama de ciberseguridad. Originalmente desarrollado para pruebas de penetración y emulación adversarial, este software ha sido adoptado por un número cada vez mayor de actores de amenazas vinculados a grupos de ransomware rusos, entre ellos los asociados con las operaciones Fog y Akira.

AdaptixC2 fue presentado públicamente en agosto de 2024 por un usuario de GitHub bajo el alias "RalfHacker" (@HackerRalf en X), quien se describe como probador de penetración, operador de equipo rojo y "MalDev" (abreviatura de malware developer). Sin embargo, lo que comenzó como un proyecto técnico para profesionales de ciberseguridad ha evolucionado en una herramienta que está siendo explotada activamente con fines delictivos.

Un marco poderoso con capacidades avanzadas

AdaptixC2 está diseñado como un marco modular y extensible de emulación adversarial y post-explotación. Su arquitectura combina un servidor en Golang con un cliente GUI desarrollado en C++ QT, lo que le brinda compatibilidad multiplataforma y una eficiencia notable en entornos complejos.

Entre sus características más destacadas se incluyen:

• Comunicaciones cifradas extremo a extremo, que dificultan su detección.
• Ejecución remota de comandos y terminal interactiva para control total del sistema comprometido.
• Gestores de credenciales que permiten la extracción de contraseñas y tokens.
• Capturas de pantalla en tiempo real para supervisión y espionaje.
• Capacidades de automatización, que facilitan la persistencia y el movimiento lateral dentro de las redes comprometidas.

Estas funcionalidades, diseñadas originalmente para equipos rojos y ejercicios de seguridad ofensiva, han sido rápidamente reutilizadas por atacantes con fines maliciosos, especialmente por aquellos que buscan un marco C2 eficiente y de bajo costo.

De GitHub a Telegram: el rastro de RalfHacker

La empresa de ciberseguridad Silent Push llevó a cabo una investigación tras detectar que la biografía de GitHub de RalfHacker mencionaba ser un "MalDev". Este detalle llevó a descubrir varias cuentas vinculadas y un canal de Telegram denominado "RalfHackerChannel", que cuenta con más de 28,000 suscriptores.

En este canal, el desarrollador compartía actualizaciones sobre AdaptixC2 y otros proyectos relacionados. Asimismo, se identificó un canal paralelo, AdaptixFramework, donde RalfHacker mencionó en agosto de 2024 su intención de crear un "C2 público, que está muy de moda en este momento" y aspiraba a que fuera similar a Empire, otro marco popular de post-explotación.

Silent Push señala que aunque no existe evidencia directa de que RalfHacker participe en ataques o campañas ilícitas, sus vínculos con la comunidad subterránea rusa y el uso de Telegram como canal de promoción representan señales de alerta claras.

Cibercriminales rusos aprovechan AdaptixC2 en campañas activas

Informes recientes de Palo Alto Networks (Unidad 42) confirman que AdaptixC2 ha sido empleado por grupos de ransomware rusos, particularmente Fog y Akira, así como por agentes de acceso inicial que utilizan la herramienta CountLoader para desplegar cargas útiles y malware adicionales.

Estas operaciones incluyen el uso de scripts generados con inteligencia artificial (IA) y campañas de ingeniería social mediante falsas llamadas de soporte técnico de Microsoft Teams, donde las víctimas son engañadas para ejecutar cargas maliciosas controladas por AdaptixC2.

El marco, según los analistas, permite "controlar de manera integral las máquinas comprometidas", lo que convierte su uso en una amenaza grave para empresas que carecen de una estrategia sólida de detección y respuesta ante incidentes.

La delgada línea entre la ética y el delito

AdaptixC2 fue lanzado bajo la premisa de ser una herramienta de código abierto para profesionales de ciberseguridad. Sin embargo, como ha ocurrido con otros proyectos similares, la facilidad de acceso y la falta de control sobre su distribución han provocado su rápida adopción por actores maliciosos.

El fenómeno refleja una tendencia preocupante: las herramientas de pentesting legítimas están siendo reutilizadas por grupos criminales. Casos anteriores con Cobalt Strike, Empire o Metasploit demuestran que cualquier software potente diseñado para simular ataques puede transformarse en un arma digital.

Implicaciones para la seguridad empresarial

La adopción de AdaptixC2 por parte de actores de ransomware implica una nueva capa de sofisticación en las amenazas persistentes avanzadas (APT). Las empresas deben reforzar sus defensas con:

• Monitorización activa de tráfico cifrado y actividad C2.
• Implementación de EDR y detección basada en comportamiento.
• Actualización constante de firmas y reglas de correlación en SIEM.
• Capacitación del personal en ingeniería social y respuesta a incidentes.

Además, los equipos de seguridad deben rastrear la presencia de marcos como AdaptixC2 en sus entornos, especialmente en sistemas Windows y Linux donde pueden integrarse fácilmente mediante scripts automatizados.

En fin...

El caso de AdaptixC2 demuestra cómo las líneas entre las herramientas éticas y las plataformas de cibercrimen se vuelven cada vez más difusas. Aunque fue creado para mejorar la defensa mediante simulaciones reales de ataque, su adopción por grupos de ransomware rusos evidencia la necesidad urgente de regulación, monitoreo y control sobre el uso de herramientas de seguridad ofensiva.

AdaptixC2 ya no es solo un experimento técnico: se ha convertido en una nueva pieza del arsenal digital criminal que está redefiniendo las reglas del ciberconflicto moderno.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login