Void-Botnet nutzt Ethereum-Smart Contracts für widerstandsfähige C2-Infrastruktur

Besonders alarmierend an Void-Botnetz ist nicht nur die, sondern auch der Zeitpunkt seines Auftretens auf den kriminellen Märkten.

Es tauchte nur einen Monat nach der Offenlegung eines ähnlichen Werkzeugs namens Aeternum C2 auf, was zeigt, dass blockchainbasierte Command-and-Control-Infrastrukturen nicht mehr nur eine einmalige Experimentierphase eines einzelnen Bedrohungsakteurs darstellen.

Zwei unabhängig entwickelte Botnets, die auf zwei unterschiedlichen Blockchains basieren, traten innerhalb weniger Wochen zutage und deuten auf einen breiteren Wandel in der Denkweise langfristiger Überlebensfähigkeit hin. Forscher Void Botnet und veröffentlichten ihre Erkenntnisse am 18. Mai 2026.

Sicherheitslage und Risiko

Laut einem Security News (CSN) übergebenen Bericht wurde die Malware, der sich unter dem Alias TheVoidStl bewegt und den Operatornamen nikoniko verwendet. Zu den damit verbundenen Werkzeugen desselben Entwicklers gehören TheVoidStealer, WallStealer und Void Miner, was auf ein aktives und stetig wachsendes Malware-Portfolio hindeutet.

Das Void Botnet nutzt Ethereum-Smart Contracts. Das Void Botnet ist in Rust geschrieben, wodurch es ein leichtgewichtiges natives Binärformat mit einer Dateigröße 1,5 MB darstellt.

Der Loader läuft sowohl auf 32-Bit- als auch auf 64-Bit-Windows-Systemen und unterstützt eine breite Palette, die einem Angreifer erhebliche Kontrolle über jede infizierte Maschine ermöglichen.

Moegliche Anwendungen

Das Design des Systems spiegelt sorgfältige Planung wider und legt einen starken Schwerpunkt darauf, auch bei ungünstigen Netzwerkbedingungen oder im Einsatz und gleichzeitig verbunden zu sein.

Die öglichten Bedrohungen umfassen ein breites Spektrum, darunter DDoS-Kampagnen, Diebstahl der Befehls- und Steuerungskanal auf einer öffentlichen Blockchain existiert, können Verteidiger nicht einfach einen Server beschlagnahmen oder eine Domain sperren, um den Zugriff zu unterbrechen.

Dies macht proaktive Sicherheitsmaßnahmen, einschließlich Bot-Schutz und DDoS-Minderung, für Organisationen, die dieser wachsenden Bedrohungsklasse gegenüberstehen, wichtiger denn je. Im Kern zweimodiger Befehls- und Steuerungsmechanismus, der in einer einzigen Binärdatei integriert ist.

Im dezentralen Modus gibt der Betreiber

Im dezentralen Modus gibt der Betreiber Anweisungen an einen Ethereum-Smart-Contract ab, und die infizierten Geräte prüfen diesen Vertrag in regelmäßigen Abständen und übernehmen neue Aufgaben innerhalb fünf Minuten.

Es gibt keinen Server zu übernehmen, keine Domain zu sperren und keinen Registrierungsanbieter zu kontaktieren, da die Befehle auf einer öffentlichen Blockchain leben, auf die keine einzelne Instanz Zugriff hat.

Im zweiten Modus werden die Maschinen direkt mit dem Web-Panel des Operators verbunden, wo Aufgaben in weniger als dreißig Sekunden abgeschlossen werden. Der Operator kann jederzeit zwischen den Modi wechseln, indem er den Vertrag aktualisiert.

Technik und Auswirkungen

Dieses Design gewährt dem Angreifer die Flexibilität, bei günstigen Bedingungen auf Geschwindigkeit zu setzen und bei Bedarf auf den widerstandsfähigen Blockchain-Kanal zurückzugreifen, um sich vor Maßnahmen zur Abschaltung zu schützen.

Im Operator-Panel und den Aufgabenfähigkeiten bietet das Operator-Panel dem Käufer einen detaillierten Überblick über jede infizierte Maschine, einschließlich ihres Standorts, des Betriebssystems, der aktiven Antivirensoftware und der Frage, ob der Benutzer Administratorrechte besitzt.

Aufgaben können an einzelne Maschinen oder an die gesamte Flotte gleichzeitig übermittelt werden, wobei eine optionale Filterung nach Land für gezielte regionale Kampagnen unterstützt wird. Das Panel unterstützt vierzehn Aufgabentypen. Payloads können als ausführbare Dateien, DLLs, MSI-Pakete oder PowerShell-Skripte bereitgestellt werden.

Technischer Hintergrund

Ein spezialisierter Modus für die Ausführung im Arbeitsspeicher lädt Binärdateien direkt in den Prozessspeicher, ohne die Festplatte zu berühren, und umgeht damit Abwehrmechanismen, die auf dateibasierte Scans angewiesen sind.

Reverse-Shell- und PowerShell-Aufgaben eröffnen auf kompromittierten Systemen live interaktive Sitzungen, während SelfDelete und SelfUpdate dem Betreiber ermöglichen, den Agenten nach Bedarf zu bereinigen oder zu aktualisieren. Die Persistenz wird über einen geplanten Task hergestellt, der in der Version 1.1 eingeführt wurde.

Indikatoren für einen Kompromittierung (IoCs): Bedrohungsakteur-Handle: Indikator: TheVoidStl; Beschreibung: Entwickler/Verkäufer des Void Botnet. Betreiber-Beiname: Indikator: nikoniko; Beschreibung: Betreiberbeiname, der mit der Void-Botnet-Kampagne in Verbindung steht.

Sicherheitslage und Risiko

Verwandte Malware: Indikator: TheVoidStealer; Beschreibung: Verwandtes Werkzeug desselben Entwicklers. Verwandte Malware: Indikator: WallStealer; Beschreibung: Verwandtes Werkzeug desselben Entwicklers. Verwandte Malware: Indikator: Void Miner; Beschreibung: Werkzeug desselben Entwicklers.

Build-Sprache: Indikator: Rust.NET Framework 4.8 (v1.1); Beschreibung: Native Implementierungssprache des Loaders. C2-Mechanismus: Indikator: Ethereum-Smart Contracts; Beschreibung: Blockchain-basierter dezentraler C2-Kanal.

Erstbeobachtung: Indikator: März 2026; Beschreibung: Datum, an dem das Listing erstmals auf einem russischsprachigen Cyberkriminalitätsforum erschien. Preisgestaltung: Indikator: 600 USD + 50 USD pro Build; Beschreibung: Preismodell für Malware-as-a-Service. Hinweis: IP-Adressen und Domains wurden absichtlich defanged (z.

Technik und Auswirkungen

B. [.] ), um eine unbeabsichtigte Auflösung oder Hyperlinkierung zu verhindern. Defang nur innerhalb kontrollierter Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihres SIEM wiederherstellen. Tushar ist ein Senior-Berichterstattungsexperte für Cybersicherheit und Datenschutzverletzungen.

Er spezialisiert sich auf die Berichterstattung über Nachrichten, Trends und aufkommende Bedrohungen im Bereich der Cybersicherheit sowie über Datenlecks und Malware-Angriffe. Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen. PinTheft Linux-Schwachstelle: Angreifer erhalten Root-Zugang – Proof of Concept veröffentlicht.

Wie Sie die teuerste Lücke in Ihrer SOC schließen. Grafana-Datenbankverletzung im Zusammenhang mit TanStack npm-Supply-Chain-Ransomware.