✍️ AdaptixC2: новый open-source C2 в руках атакующих
Unit 42 (Palo Alto Networks) зафиксировали использование AdaptixC2 в реальных атаках (май–сентябрь 2025).
Изначально задумывался как red team-фреймворк, но теперь активно используется злоумышленниками для постэксплуатации и скрытого контроля инфраструктуры.

🔗 Функционал:
• управление файлами/процессами, запуск программ;
• туннели (SOCKS4/5, port-forwarding);
• поддержка BOF (Beacon Object Files);
• агенты в форматах EXE/DLL/сервис/шеллкод (x86/x64);
• опции OpSec (KillDate, WorkingTime, обфускация);
• профили beacon-ов: HTTP, SMB (named pipes), TCP.

📌 Сценарии атак:
Fake HelpDesk (Teams + Quick Assist):
– фишинг через Teams, запуск Quick Assist;
– PowerShell-лоадер (update.ps1) качает и расшифровывает шеллкод из Google Drive;
– инжект в память, persistence через ярлык в Startup.
AI-generated PowerShell + DLL hijack:
– скрипт с характерными “AI-следами” (verbose комменты, ✔️ в выводе);
– загрузка Base64 шеллкода, VirtualProtect → GetDelegateForFunctionPointer;
– DLL hijack (APPDATA\...\Templates\msimg32.dll), Run-ключ Updater.

🕵️ Постэксплуатация:
whoami, ipconfig, nltest → C2-сервер → дальнейший lateral movement.
В одном кейсе AdaptixC2 применялся совместно с Fog ransomware.

⚠️ Вывод:
AdaptixC2 — свежий пример того, как open-source фреймворки быстро становятся оружием. Модульность + AI-сгенерированные загрузчики = повышенная скорость адаптации и обхода защит.

🔗 https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/
🔗https://t.me/AdaptixFramework
🦔 THF