Adaptixc2

Uma nova campanha de espionagem cibernética, denominada Operação Dragon Weave, foi identificada como alvo de oficiais e cidadãos na República Tcheca e em Taiwan. A Seqrite Labs relatou que os alvos incluem setores governamentais, de pesquisa, acadêmicos, tecnológicos e serviços financeiros. A campanha utiliza e-mails de spear-phishing com anexos ZIP para iniciar uma cadeia de infecção que emprega um carregador em Rust, resultando na exfiltração de dados e controle remoto. Ao extrair o arquivo ZIP, múltiplos arquivos que aparentam ser legítimos são ativados, mas fazem parte de uma cadeia de infecção estruturada. O ataque pode ser iniciado por um arquivo de atalho malicioso que simula um documento PDF ou diretamente por um binário que atua como um dropper. O malware final, um agente AdaptixC2, se comunica com o armazenamento em nuvem da Microsoft Azure, utilizando um modelo de ‘dead drop’ para troca de dados, evitando comunicação direta. O AdaptixC2 permite uma ampla gama de ações pós-comprometimento, dando ao atacante controle total sobre o endpoint comprometido. A atividade foi atribuída a um grupo de ameaças alinhado à China, que permanece ativo globalmente, com outras operações sendo relatadas em diferentes regiões.

O AdaptixC2, um framework de código aberto para comando e controle (C2), está sendo utilizado por um número crescente de atores de ameaças, incluindo grupos de ransomware ligados à Rússia. Desenvolvido inicialmente por um usuário do GitHub conhecido como ‘RalfHacker’, o AdaptixC2 é projetado para testes de penetração e oferece uma variedade de recursos, como comunicações criptografadas, execução de comandos e gerenciamento de credenciais. Desde sua liberação pública em agosto de 2024, o framework tem sido adotado por grupos de hackers, incluindo operações de ransomware como Fog e Akira. A Palo Alto Networks caracterizou o AdaptixC2 como um framework modular que permite controle abrangente de máquinas comprometidas. Apesar de ser uma ferramenta ética, sua popularidade entre cibercriminosos levanta preocupações. A empresa Silent Push iniciou uma investigação após a descrição de RalfHacker como ‘MalDev’, encontrando conexões com o submundo criminoso da Rússia. Embora não se saiba se RalfHacker está diretamente envolvido em atividades maliciosas, a utilização crescente do AdaptixC2 por atores de ameaças russos é um sinal de alerta significativo.

Em outubro de 2025, pesquisadores da Kaspersky identificaram um ataque sofisticado à cadeia de suprimentos que visava o ecossistema npm, utilizando um pacote malicioso chamado https-proxy-utils. Este pacote se disfarçava como uma ferramenta de proxy legítima, mas tinha como objetivo entregar o AdaptixC2, um framework de pós-exploração que começou a ser observado em campanhas maliciosas desde a primavera de 2025. Os atacantes usaram uma técnica clássica de typosquatting, criando um nome de pacote que se assemelhava a pacotes npm populares e legítimos, como http-proxy-agent e https-proxy-agent, que recebem milhões de downloads semanalmente. O pacote malicioso incluía um script pós-instalação que baixava e executava automaticamente o agente AdaptixC2, adaptando-se a diferentes sistemas operacionais, como Windows, Linux e macOS. Uma vez instalado, o AdaptixC2 oferece aos atacantes acesso remoto, execução de comandos e gerenciamento de arquivos, permitindo que mantenham acesso contínuo a sistemas comprometidos. Este incidente destaca a crescente ameaça de ataques à cadeia de suprimentos em ecossistemas de software de código aberto, exigindo que organizações e desenvolvedores verifiquem cuidadosamente os nomes dos pacotes antes da instalação.

Em maio de 2025, analistas da Unit 42 identificaram várias campanhas de ataque utilizando o AdaptixC2, um framework de código aberto originalmente desenvolvido para equipes vermelhas, mas agora explorado por atores maliciosos. Com uma arquitetura modular e baseada em plugins, o AdaptixC2 se destacou por sua capacidade de manipulação abrangente de sistemas, incluindo navegação em sistemas de arquivos e execução de programas arbitrários. Os ataques foram realizados através de vetores de infecção distintos, como campanhas de phishing que se faziam passar por suporte técnico via Microsoft Teams, e um instalador PowerShell gerado por IA que injetava código malicioso na memória. O framework permite movimentação lateral discreta em redes segmentadas e utiliza técnicas avançadas para evitar detecções. A Unit 42 observou um aumento no número de servidores de comando e controle (C2) do AdaptixC2, ligando-o a operações de ransomware, o que destaca sua flexibilidade em cadeias de ataque mais amplas. Para mitigar esses riscos, recomenda-se que as defesas monitorem logs do PowerShell e implementem soluções de detecção de ameaças em rede e endpoints.

O AdaptixC2, um framework de pós-exploração de código aberto, tem sido utilizado em diversos ataques reais nos últimos meses. Pesquisadores da Unit 42 identificaram sua implementação em maio de 2025, revelando campanhas que combinam engenharia social e scripts gerados por IA para comprometer endpoints Windows. A arquitetura modular do AdaptixC2, junto com perfis de configuração criptografados e técnicas de execução sem arquivo, permite que os atacantes mantenham acesso persistente e oculto, evitando defesas tradicionais.