駭客聲稱提供開源滲透測試框架AdaptixC2，實際上是發展犯罪工具

合法的滲透測試工具遭到駭客濫用的情況不時傳出，近期駭客又特別偏好功能強大的開源工具，例如：中國駭客Storm-2603將資安鑑識工具Velociraptor用於勒索軟體活動，但如今卻出現有歹徒反向操作，假借打造開源滲透測試框架的名義，明目張膽地發展犯罪工具。

資安業者Silent Push指出，最近幾個月傳出遭到濫用的滲透測試工具AdaptixC2，背後實際上的主要開發者是駭客。該公司根據上個月揭露的惡意軟體載入工具CountLoader的攻擊行動裡，犯案的俄羅斯勒索軟體駭客會一併運用AdaptixC2進行通訊，其中不尋常的跡象是，AdaptixC2的有效酬載竟透過CountLoader的基礎設施提供，於是他們進一步根據C2的IP位址等資料循線追查，發現AdaptixC2開發者的身分並不單純。

而且，在GitHub儲存庫提交的AdaptixC2程式碼，幾乎都來自名為RalfHacker的人士，雖然他自稱是滲透測試員及紅隊操作人士，但實際上是惡意軟體的開發者。

他們比對這名人士曾經使用的電子郵件信箱，以及開源威脅情報（OSINT）的情報之後，發現RalfHacker曾參與駭客論壇Raidforums，目前透過大型Telegram群組Ralf Hacker宣傳0.6版AdaptixC2更新，相關資訊皆使用俄語，該頻道有近2.8萬名訂閱者，Silent Push後續找到另一個專門推廣AdaptixC2的Telegram頻道「AdaptixFramework」。

為了掩蓋非法意圖，駭客往往會聲稱自己是紅隊成員或白帽駭客，而RalfHacker也符合這樣的特徵，因此Silent Push認定此人並非單純的軟體開發人員。儘管他們無法確認此人參與那些實際攻擊行動，但根據RalfHacker自己開發AdaptixC2，並透過Telegram頻道向俄羅斯駭客宣傳，以及相關攻擊活動不斷傳出，顯然AdaptixC2並非單純的滲透測試工具。

AdaptixC2被用於實際攻擊行動最早是在今年8月被揭露，The DFIR Report網站於7月看到被用於勒索軟體Akira攻擊行動；後續資安業者Palo Alto Networks指出，他們在5月調查了數起駭客運用AdaptixC2並部署Beacon的事故，攻擊者假冒IT技術支援團隊來接觸受害者。