Adaptixc2

O AdaptixC2, um framework de código aberto para comando e controle (C2), está sendo utilizado por um número crescente de atores de ameaças, incluindo grupos de ransomware ligados à Rússia. Desenvolvido inicialmente por um usuário do GitHub conhecido como ‘RalfHacker’, o AdaptixC2 é projetado para testes de penetração e oferece uma variedade de recursos, como comunicações criptografadas, execução de comandos e gerenciamento de credenciais. Desde sua liberação pública em agosto de 2024, o framework tem sido adotado por grupos de hackers, incluindo operações de ransomware como Fog e Akira. A Palo Alto Networks caracterizou o AdaptixC2 como um framework modular que permite controle abrangente de máquinas comprometidas. Apesar de ser uma ferramenta ética, sua popularidade entre cibercriminosos levanta preocupações. A empresa Silent Push iniciou uma investigação após a descrição de RalfHacker como ‘MalDev’, encontrando conexões com o submundo criminoso da Rússia. Embora não se saiba se RalfHacker está diretamente envolvido em atividades maliciosas, a utilização crescente do AdaptixC2 por atores de ameaças russos é um sinal de alerta significativo.

Em outubro de 2025, pesquisadores da Kaspersky identificaram um ataque sofisticado à cadeia de suprimentos que visava o ecossistema npm, utilizando um pacote malicioso chamado https-proxy-utils. Este pacote se disfarçava como uma ferramenta de proxy legítima, mas tinha como objetivo entregar o AdaptixC2, um framework de pós-exploração que começou a ser observado em campanhas maliciosas desde a primavera de 2025. Os atacantes usaram uma técnica clássica de typosquatting, criando um nome de pacote que se assemelhava a pacotes npm populares e legítimos, como http-proxy-agent e https-proxy-agent, que recebem milhões de downloads semanalmente. O pacote malicioso incluía um script pós-instalação que baixava e executava automaticamente o agente AdaptixC2, adaptando-se a diferentes sistemas operacionais, como Windows, Linux e macOS. Uma vez instalado, o AdaptixC2 oferece aos atacantes acesso remoto, execução de comandos e gerenciamento de arquivos, permitindo que mantenham acesso contínuo a sistemas comprometidos. Este incidente destaca a crescente ameaça de ataques à cadeia de suprimentos em ecossistemas de software de código aberto, exigindo que organizações e desenvolvedores verifiquem cuidadosamente os nomes dos pacotes antes da instalação.

Em maio de 2025, analistas da Unit 42 identificaram várias campanhas de ataque utilizando o AdaptixC2, um framework de código aberto originalmente desenvolvido para equipes vermelhas, mas agora explorado por atores maliciosos. Com uma arquitetura modular e baseada em plugins, o AdaptixC2 se destacou por sua capacidade de manipulação abrangente de sistemas, incluindo navegação em sistemas de arquivos e execução de programas arbitrários. Os ataques foram realizados através de vetores de infecção distintos, como campanhas de phishing que se faziam passar por suporte técnico via Microsoft Teams, e um instalador PowerShell gerado por IA que injetava código malicioso na memória. O framework permite movimentação lateral discreta em redes segmentadas e utiliza técnicas avançadas para evitar detecções. A Unit 42 observou um aumento no número de servidores de comando e controle (C2) do AdaptixC2, ligando-o a operações de ransomware, o que destaca sua flexibilidade em cadeias de ataque mais amplas. Para mitigar esses riscos, recomenda-se que as defesas monitorem logs do PowerShell e implementem soluções de detecção de ameaças em rede e endpoints.

O AdaptixC2, um framework de pós-exploração de código aberto, tem sido utilizado em diversos ataques reais nos últimos meses. Pesquisadores da Unit 42 identificaram sua implementação em maio de 2025, revelando campanhas que combinam engenharia social e scripts gerados por IA para comprometer endpoints Windows. A arquitetura modular do AdaptixC2, junto com perfis de configuração criptografados e técnicas de execução sem arquivo, permite que os atacantes mantenham acesso persistente e oculto, evitando defesas tradicionais.