Het open-source command-and-control (C2)-framework, bekend als AdaptixC2, wordt gebruikt door een groeiend aantal bedreigingsactoren, waarvan sommige gerelateerd zijn aan Russische ransomwarebendes.
AdaptixC2 is een opkomend, uitbreidbaar raamwerk voor post-exploitatie en vijandige emulatie, ontworpen voor penetratietesten. Terwijl de servercomponent in Golang is geschreven, is de GUI-client geschreven in C++ QT voor platformonafhankelijke compatibiliteit.
Het wordt geleverd met een breed scala aan functies, waaronder onder meer volledig gecodeerde communicatie, opdrachtuitvoering, beheerders van inloggegevens en screenshots en een externe terminal. Een vroege versie werd in augustus 2024 publiekelijk uitgebracht door een GitHub-gebruiker genaamd “RalfHacker” (@HackerRalf on X), die zichzelf omschrijft als een penetratietester, red team-operator en “MalDev” (afkorting van malware-ontwikkelaar).
In de afgelopen maanden is AdaptixC2 overgenomen door verschillende hackgroepen, waaronder bedreigingsactoren die verband houden met de ransomware-operaties Fog en Akira, evenals door een initiële toegangsmakelaar die CountLoader heeft ingezet bij aanvallen die zijn ontworpen om verschillende post-exploitatietools te leveren.
Palo Alto Networks Unit 42, die vorige maand de technische aspecten van het raamwerk uiteenzette, typeerde het als een modulair en veelzijdig raamwerk dat kan worden gebruikt om “getroffen machines volledig te controleren”, en dat het is gebruikt als onderdeel van valse helpdeskoproepen via Microsoft Teams en via een door kunstmatige intelligentie (AI) gegenereerd PowerShell-script.
Hoewel AdaptixC2 wordt aangeboden als een ethische, open source tool voor red teaming-activiteiten, is het ook duidelijk dat het de aandacht van cybercriminelen heeft getrokken.
Cybersecuritybedrijf Silent Push zei dat RalfHacker’s GitHub-biografie over het feit dat ze een “MalDev” waren, aanleiding gaf tot een onderzoek, waardoor ze verschillende e-mailadressen konden vinden voor GitHub-accounts die waren gekoppeld aan de eigenaar van het account, naast een Telegram-kanaal genaamd RalfHackerChannel, waar ze berichten opnieuw deelden die waren gepost op een speciaal kanaal voor AdaptixC2. Het RalfHackerChannel-kanaal heeft meer dan 28.000 abonnees.
In een bericht op het AdaptixFramework-kanaal in augustus 2024 vermeldden ze hun interesse in het starten van een project over een “openbare C2, die momenteel erg trendy is” en hoopten ze “het zal lijken op Empire”, een ander populair raamwerk voor post-exploitatie en vijandige emulatie.
Hoewel het momenteel niet bekend is of RalfHacker in dit stadium enige directe betrokkenheid heeft bij kwaadaardige activiteiten die verband houden met AdaptixC2 of CountLoader, zegt Silent Push dat hun “banden met de Russische criminele underground, via het gebruik van Telegram voor marketing en de daaropvolgende toename van het gebruik van de tool door Russische bedreigingsactoren, allemaal aanzienlijke waarschuwingssignalen oproepen.”
The Hacker News heeft contact opgenomen met RalfHacker voor commentaar, en we zullen het verhaal bijwerken als we iets horen.
