Conçu à l’origine pour les tests d’intrusion et la cybersécurité défensive, le framework open source AdaptixC2 est désormais au cœur d’une vaste enquête : des chercheurs de Silent Push ont révélé que des groupes de cybercriminels russes utilisent cet outil pour propager des malwares et lancer des campagnes de ransomware à l’échelle mondiale.
Le rapport, publié le 30 octobre dernier, indique qu’AdaptixC2, initialement développé pour aider les red teams à tester la robustesse des systèmes informatiques, a été détourné par des acteurs malveillants liés à la cybercriminalité russe. Ces derniers s’en servent pour distribuer des charges utiles (payloads) malicieuses et prendre le contrôle à distance d’ordinateurs compromis.
Les chercheurs ont découvert des liens directs entre le framework et un individu opérant sous le pseudonyme “RalfHacker”, présenté comme le principal développeur d’AdaptixC2. Ce dernier anime une chaîne Telegram russophone comptant plus de 28 000 abonnés, où il promeut activement l’outil et publie du contenu lié à la cybersécurité offensive. Les analystes estiment que cette chaîne sert aussi de vitrine marketing auprès de groupes criminels cherchant des outils prêts à l’emploi pour leurs campagnes.
L’affaire AdaptixC2 illustre une tendance devenue courante : le détournement d’outils open source légitimes à des fins malveillantes. Comme Cobalt Strike avant lui, l’outil bascule du test de sécurité au piratage pur, brouillant la frontière entre recherche défensive et exploitation criminelle.
Un outil légitime transformé en arme numérique
À l’origine, AdaptixC2 se voulait un projet open source de type Command & Control (C2), comparable à Metasploit ou Cobalt Strike, permettant aux experts en sécurité d’évaluer la résistance de leurs réseaux. Sa conception modulaire en Go(pour le serveur) et C++/Qt (pour l’interface client) lui confère une compatibilité multiplateforme et une gestion complète des machines distantes, incluant exécution de commandes, gestion des identifiants et communication chiffrée.
Mais ses fonctionnalités avancées ont rapidement attiré des acteurs malveillants. Silent Push a identifié son usage dans des campagnes menées par des groupes de ransomware tels que Akira et Fog, responsables de dizaines de millions de dollars de rançons depuis 2023. Les chercheurs de Palo Alto Networks (Unit 42) ont également observé son intégration dans de fausses campagnes de support technique via Microsoft Teams et des scripts PowerShell générés par IA.
L’enquête révèle aussi que la distribution d’AdaptixC2 s’appuie sur des méthodes de plus en plus sophistiquées : à la mi-octobre, Kaspersky a signalé un paquet npm malveillant nommé https-proxy-utils diffusant l’agent AdaptixC2 sur les postes infectés, tandis que le malware CountLoader — associé aux groupes LockBit, BlackBasta et Qilin — l’utilise pour le déploiement de charges post-exploitation.
