A principios de mayo de 2025, los equipos de seguridad comenzaron a observar un aumento repentino en la actividad posterior a la explotación aprovechando un marco de comando y control de código abierto conocido como AdaptIXC2.
Originalmente desarrollado para ayudar a los probadores de penetración, este marco ofrece una gama de capacidades (manipulación del sistema de archivos, enumeración de procesos y túneles encubiertos de canales) que ahora han sido adoptados por actores maliciosos.
El diseño modular y la extensibilidad del marco a través de “extensores” lo hacen particularmente atractivo para los adversarios que buscan un juego de herramientas personalizable que pueda evadir las defensas tradicionales.
Los investigadores de Palo Alto Networks señalaron que AdaptIXC2 permaneció en gran medida bajo el radar hasta que las alimentos de inteligencia de amenazas comenzaron a informar infecciones en múltiples sectores.
Una campaña temprana se basó en la ingeniería social a través de solicitudes de soporte remoto de la mesa de ayuda falsa, engañando a los usuarios para que ejecute sesiones de asistencia rápida que desataron un cargador de PowerShell de varias etapas.
En cuestión de minutos, los adversarios lograron la ejecución en memoria de la baliza sin dejar caer ningún archivo, evitar medidas de detección de punto final y establecer un control persistente sobre el host de la víctima.
A medida que proliferaron los incidentes, surgió un grupo diferente de intrusiones que involucran scripts generados por IA diseñados para implementar adaptixc2.
Analistas de Palo Alto Networks identificado Marcadores estilísticos, comentarios numerarios y confirmaciones de salida detallada, que señalaron el código producido por modelos de idiomas grandes.
Estos scripts no solo descargaron y descifraron una carga útil codificada de Base64, sino que también usaron el GetDelegateFunctPointer de .NET para ejecutar ShellCode directamente en la memoria.
Al aprovechar las API de Windows incorporadas, como VirtualProtect y Createprocess, los atacantes lograron despliegue sigiloso y persistencia confiable.
En ambos escenarios, el impacto ha sido significativo. Los entornos comprometidos han visto un movimiento lateral facilitado por el túnel de calcetines4/5 y el reenvío de puertos, lo que permite la exfiltración de datos en pequeños trozos para combinar con patrones de tráfico normales.
En un caso documentado, los adversarios combinaron adaptixc2 con ransomware de niebla en un ataque contra una institución financiera en Asia, lo que demuestra la versatilidad y el potencial del marco para amplificar las cargas útiles posteriores.
Las organizaciones que dependen de los sistemas de detección de herentes heredados se encontraron mal preparados para esta amenaza modular y en evolución.
Servidor adaptixc2 (fuente – Palo Alto Networks)
La vista gráfica de los agentes y sesiones vinculados, destacando cómo los atacantes mapean los objetivos disponibles y planifican operaciones de varias etapas.
Beacon Http Builder UI (Fuente – Palo Alto Networks)
Los parámetros de configuración cifrados (cargas útiles cifradas de RC4 almacenadas junto con sus claves en el encabezado de PE, lo que permite una rápida personalización de los perfiles de comunicación.
Mecanismo de infección a través de Fileless PowerShell Loader
Uno de los elementos más insidiosos de la implementación de AdaptIXC2 es su mecanismo de infección sin archivo, ejecutado completamente en la memoria para evadir las defensas basadas en disco.
El vector inicial a menudo comienza con un guión Powershell aparentemente inocuo, entregado a través de un correo electrónico de ingeniería social o un mensaje de soporte remoto.
Tras la ejecución, el script invoca Invoke-Restmethod para recuperar una carga útil de SellCode codificada por Base64 de un servicio legítimo de almacenamiento en la nube.
Vector de ataque de la instalación de adaptixc2 en la máquina de víctimas (fuente – Palo Alto Networks)
Luego decodifica esta carga útil y llama a VirtualAlloc para asignar una región de memoria con Page_Execute_readWrite permisos.
Usando la reflexión y la invocación dinámica, el cargador construye un delegado que apunta al punto de entrada de shellcode:-
var ptr = getDelegatefunfunctionPointer (shellCodePtr, typeof (acción)); ((Acción) ptr) ();
Este método evita la necesidad de ejecutables escritos, dejando artefactos forenses mínimos. Después de una ejecución exitosa, el script emplea CreateShortcut en la carpeta de inicio del usuario o escribe una clave de ejecución para el registro bajo un nombre familiar como “Updater”, asegurando que el Beacon sobrevive a los reinicios.
La evasión de detección se mejora aún más por los parámetros configurables de KillDate y Working Time, que limitan la actividad de la baliza a ventanas predefinidas, y mediante cadenas de agentes de usuario personalizables y encabezados HTTP.
Por lo tanto, los equipos de seguridad deben enriquecer la telemetría con detecciones basadas en la memoria y análisis de red de red para interceptar estas cargas útiles en vuelo antes de establecer completamente sus canales C2.
El monitoreo continuo de las API de invocación dinámica y los procesos anómalos de los niños PowerShell siguen siendo fundamentales para interrumpir esta cadena de infección moderna y sin archivo.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
