Negli ultimi mesi si sta osservando una crescente adozione di AdaptixC2, un framework open source di command-and-control (C2), da parte di gruppi di cybercriminali, in particolare provenienti dall’area del ransomware russo. Inizialmente sviluppato per il penetration testing e l’emulazione di avversari, AdaptixC2 è stato progettato per essere estensibile e modulare, offrendo funzionalità avanzate come comunicazioni completamente criptate, esecuzione di comandi remoti, gestione delle credenziali, acquisizione di screenshot e gestione terminale a distanza.

Il server di AdaptixC2 è scritto in Golang, mentre la sua interfaccia grafica cross-platform utilizza C++ QT, garantendo così compatibilità su diversi sistemi operativi. Rilasciato pubblicamente per la prima volta nell’agosto 2024, il progetto è rapidamente diventato oggetto di interesse sia per i professionisti della sicurezza informatica sia per attori malevoli. La distribuzione open source ha permesso a chiunque di scaricare, modificare e utilizzare il framework, rendendolo particolarmente appetibile per cybercriminali che cercano strumenti sofisticati da integrare nei loro attacchi.

Recenti analisi di aziende di sicurezza come Palo Alto Networks Unit 42 e Silent Push hanno evidenziato come AdaptixC2 sia stato adottato non solo da operatori di ransomware noti come Fog e Akira, ma anche da broker di accesso iniziale che sfruttano loader come CountLoader per dispiegare strumenti post-exploitation all’interno delle reti compromesse. Lo strumento si dimostra efficace non solo per il controllo remoto delle macchine infette, ma anche per l’esecuzione di campagne di phishing e social engineering, ad esempio tramite finti help desk su Microsoft Teams o attraverso script PowerShell generati da intelligenza artificiale.

La natura open source di AdaptixC2, unita alla sua capacità di eludere i controlli di sicurezza grazie alla crittografia delle comunicazioni e alla modularità, lo rende particolarmente difficile da rilevare e bloccare. Nonostante sia stato pensato come risorsa etica per il red teaming, la sua popolarità nel cybercrime sottolinea l’importanza di monitorare costantemente le comunità di sviluppo e di adottare strategie di difesa proattive.

Il caso AdaptixC2 dimostra come gli strumenti nati per la sicurezza possano rapidamente essere convertiti in armi nelle mani sbagliate, evidenziando la sottile linea che separa l’ethical hacking dal cybercrime. Gli esperti sottolineano la necessità di rafforzare la threat intelligence e di aggiornare costantemente le difese, vista la rapida evoluzione delle tecniche di attacco basate su framework open source.