Руски киберпрестъпници използват популярния инструмент за тестване на проникване AdaptixC2 в кампании с рансъмуер по целия свят, сочат нови изследвания на специалисти по киберсигурност.

AdaptixC2 – от легално тестване към зловредни атаки

Изследване на компанията Silent Push, публикувано в четвъртък, показва, че open-source командно-контролният фреймуърк AdaptixC2 – създаден първоначално за penetration тестове – е използван за доставяне на злонамерени payload-и в няколко скорошни атаки.

Инструментът е разработван и промотиран от лице с псевдоним „RalfHacker“, който поддържа проекта и оперира рускоезичен канал в Telegram. Индивидът се представя като penetration tester, red team оператор и „разработчик на малуер“.

„Връзките на RalfHacker с руската престъпна сцена – чрез маркетинг в Telegram и последващия ръст на използването на инструмента от руски заплахи – ни будят сериозни опасения“, отбелязват изследователите. Те добавят, че към момента няма категорични доказателства за директно участие на RalfHacker в престъпни операции.

Първи злоупотреби с AdaptixC2

Silent Push за първи път наблюдава злоупотреба с AdaptixC2 през август 2025 г., когато той е използван за разпространение на малуера CountLoader – силно свързан с руски рансъмуер групи. В една от кампаниите нападателите разпространявали злонамерени PDF-и, представящи се за националната полиция на Украйна.

Преди това, през 2025 г., екипът Unit 42 на Palo Alto Networks е наблюдавал подобна активност с AdaptixC2, но без да свързва конкретен киберпрестъпен колектив.

Рискове при отворените инструменти за red-teaming

AdaptixC2 е достъпен безплатно в GitHub и се рекламира като „фреймуърк за пост-експлойт и емулативни атаки за сигурност“. Ръстът на злоупотребите с него подчертава как open-source инструментите лесно могат да преминат в киберпрестъпната екосистема.

„Извършителите на атаки често прикриват киберпрестъпната си дейност под маската на ‘red teaming’ или етично хакване, когато общуват публично с други престъпни субекти“, допълват експертите от Silent Push.

Динамична промяна в руската киберсцена

Откритията идват в момент на значителни промени в руската хакерска сцена. Според доклад на Insikt Group за Recorded Future, руската киберпрестъпна среда се фрагментира под натиска на правоохранителните органи и вътрешното недоверие, като групите децентрализират операциите си, за да избегнат засичане.

„Екосистемата е малко вероятно да се свие; тя ще продължи да се пренастройва“, заключава докладът.