合法的渗透测试工具遭黑客滥用的情况时有传出，近期黑客又特别偏好功能强大的开源工具。例如，中国黑客Storm-2603曾将安全取证工具Velociraptor用于勒索软件活动。但如今却出现有不法分子反向操作，假借打造开源渗透测试框架的名义，明目张胆地开发犯罪工具。

安全企业Silent Push指出，近几个月传出被滥用的渗透测试工具AdaptixC2，其背后实际的主要开发者竟是黑客。该公司根据上个月曝光的恶意软件加载工具CountLoader的攻击行动发现，作案的俄罗斯勒索软件黑客在行动中同时使用AdaptixC2进行通信。其中异常之处在于，AdaptixC2的有效载荷竟通过CountLoader的基础设施提供。研究人员据此追踪C2服务器的IP地址等信息，逐步揭开了AdaptixC2开发者的不单纯身份。

在GitHub仓库中提交的AdaptixC2代码几乎全部来自一名名为RalfHacker的人士。尽管他自称是渗透测试员和红队操作人员，但实际上却是恶意软件的开发者。

研究人员比对了该人士曾使用的电子邮件账号，并结合开源威胁情报（OSINT）信息，发现RalfHacker曾参与黑客论坛Raidforums。目前，他正通过一个名为“Ralf Hacker”的大型Telegram群组宣传AdaptixC2 0.6版本更新，相关消息均使用俄语发布，该频道拥有近2.8万名订阅者。Silent Push后续还发现了另一个专门推广AdaptixC2的Telegram频道“AdaptixFramework”。

为了掩盖非法意图，黑客常声称自己是红队成员或白帽黑客，而RalfHacker也具备此类特征。因此，Silent Push认定此人并非单纯的软件开发人员。尽管目前无法确认他直接参与了哪些具体攻击行动，但从其亲自开发AdaptixC2、并通过Telegram渠道向俄罗斯黑客群体宣传，以及相关攻击事件持续出现的情况来看，AdaptixC2显然并非纯粹的渗透测试工具。

AdaptixC2被用于实际攻击最早于今年8月被披露。The DFIR Report网站在7月发现其被用于勒索软件Akira的攻击活动中；此后，安全厂商Palo Alto Networks表示，他们在5月调查了多起黑客利用AdaptixC2并部署Beacon的事件，攻击者假冒IT技术支持团队与受害者接触实施攻击。