Infrastructure d'attaque Command and Control Cobalt Strike · Sliver Mis à jour · Avril 2026

C2

Signification : Command and Control · commande et contrôle · C&C · C²
Réponse rapide

Infrastructure utilisée par un attaquant pour piloter à distance les machines qu’il a compromises. Le serveur C2 envoie des instructions aux malwares, bots ou implants installés sur les cibles, et reçoit en retour les données exfiltrées.

En une phrase — Un serveur C2 est l'infrastructure qu'utilise un attaquant pour piloter à distance les machines qu'il a compromises : il envoie les instructions, reçoit les données exfiltrées et coordonne les étapes suivantes de l'attaque.
Origine du terme
Vocabulaire militaire (structures de commandement)
Écritures
C2 · C&C · C² · Command and Control
Frameworks phares
Cobalt Strike · Sliver · Mythic · Metasploit · Empire
Tactique MITRE
TA0011 — Command and Control (14 techniques)
Signature type
Beaconing périodique vers infrastructure externe

01 — DéfinitionQu'est-ce que le C2 ?

En cybersécurité, le C2 (Command and Control, aussi écrit C&C, C² ou commande et contrôle) désigne l'infrastructure qu'utilise un attaquant pour piloter à distance les machines qu'il a compromises. Le terme est emprunté au vocabulaire militaire où « Command and Control » désigne les structures et processus par lesquels un commandement dirige ses forces.

Appliqué à la cybersécurité, le C2 englobe :

  • Les serveurs qui envoient des instructions aux machines compromises.
  • Le canal de communication utilisé (protocole, ports, chiffrement).
  • Les mécanismes de résilience (redondance, rotation, DGA, fast-flux).
  • L'interface de contrôle (console, dashboard web) utilisée par l'opérateur humain.
  • Les implants ou agents installés sur les cibles qui reçoivent et exécutent les commandes.

Quand un malware « communique avec son C2 », cela désigne le canal retour vers l'attaquant. Cette communication est fondamentale : sans C2, un attaquant ne peut ni piloter son malware, ni exfiltrer de données, ni faire évoluer son attaque. C'est donc aussi l'un des points de détection et de disruption privilégiés pour la défense.

Dans le framework MITRE ATT&CK, C2 correspond à la tactique TA0011 — Command and Control, qui regroupe 14 techniques documentées (Application Layer Protocol, Encrypted Channel, DNS, Dynamic Resolution, Non-Standard Port, Proxy, Web Service, etc.).

Sans C2, un malware devient inerte. C'est pourquoi détecter et bloquer les communications C2 est l'un des leviers défensifs les plus importants : on casse l'attaque avant même de comprendre exactement comment la machine a été compromise.

02 — RôleLe C2 dans la chaîne d'attaque

Quand intervient le C2

Dans une attaque moderne, le C2 intervient dès que la compromission initiale a réussi et persiste jusqu'à la fin de l'opération :

  1. Accès initial : phishing, exploit, credential stuffing.
  2. Exécution : l'implant ou le dropper s'exécute sur la machine.
  3. Contact C2 ← premier appel vers l'infrastructure de l'attaquant.
  4. Reconnaissance interne : via commandes reçues du C2.
  5. Persistance : mise en place, pilotée depuis le C2.
  6. Déplacement latéral : piloté depuis le C2.
  7. Escalade de privilèges : outils téléchargés depuis le C2.
  8. Collecte et exfiltration : données envoyées au C2.
  9. Action finale : chiffrement ransomware, destruction, manipulation — déclenchée par commande.

Tout au long de cette chaîne, le C2 est le cordon ombilical entre l'attaquant et la cible. Le couper neutralise l'attaque en cours.

Types de C2 selon les attaquants

APT étatiques

C2 hautement personnalisés, souvent développés en interne. Très sophistiqués en résilience et discrétion. Communications fortement chiffrées, infrastructure dispersée sur plusieurs continents, domaines dormants pendant des mois. Exemples : SolarWinds (SUNBURST, utilisait DNS pour C2), APT29 (Cozy Bear) avec MiniDuke et DuoDrop.

Groupes ransomware et crime organisé

Usage massif de frameworks commerciaux piratés (Cobalt Strike, Brute Ratel) ou open source (Sliver, Mythic). Infrastructures louées à la journée chez des hébergeurs bulletproof. Rotation rapide des serveurs pour échapper aux démantèlements.

Hacktivistes et amateurs

Souvent C2 open source basiques : Metasploit Framework (rudimentaire mais fonctionnel), Empire, Covenant. Peu de sophistication, infrastructures éphémères.

Red Teams et pentesters

Usage légitime de frameworks C2 pour simuler des attaques. Cobalt Strike est la référence commerciale ; Sliver gagne en popularité comme alternative open source. Permet de tester la capacité de détection des SOC sur les patterns C2 réels.

03 — ArchitecturesComment les C2 communiquent

Architectures de base

C2 centralisé classique

Modèle historique et toujours dominant. Un ou plusieurs serveurs C2 dédiés reçoivent les connexions des implants. L'attaquant se connecte au serveur C2 pour piloter son opération. Simple mais vulnérable au démantèlement (saisie = perte de contrôle).

Redirecteurs (redirectors)

Chaîne de serveurs intermédiaires entre les implants et le serveur C2 final (« team server »). Les implants ne contactent qu'un redirecteur, qui relaie vers le backend. Si un redirecteur est saisi, il suffit d'en remettre un nouveau en place. Cette architecture, popularisée par Cobalt Strike, est devenue standard.

Domain fronting

Technique qui masque la destination réelle derrière un CDN légitime. L'implant se connecte en apparence à un service reconnu (Cloudflare, CloudFront, Google, Azure CDN) mais les en-têtes HTTP redirigent en interne vers le vrai C2. Très difficile à détecter et bloquer sans casser du trafic légitime. Les grands fournisseurs cloud ont restreint cette technique depuis 2018-2019, mais elle reste exploitable via certaines configurations.

Fast-flux DNS

Les enregistrements DNS du domaine C2 changent toutes les quelques minutes, cyclant sur des centaines de bots qui servent de proxy. Saisir une IP individuelle ne casse pas le C2.

DGA (Domain Generation Algorithms)

L'implant ne connaît pas le domaine C2 à l'avance. Il calcule chaque jour des centaines à milliers de noms de domaine pseudo-aléatoires selon un algorithme. Il tente de les résoudre jusqu'à trouver celui que l'attaquant a enregistré. Rend très difficile le blocage préventif — il faudrait bloquer des milliers de domaines tournants.

Protocoles utilisés

HTTP/HTTPS

Protocole dominant en 2026. Le trafic C2 se mélange au trafic web légitime, sort des réseaux d'entreprise via les proxies comme toute navigation normale. Le HTTPS chiffre le contenu, rendant l'inspection difficile. Les requêtes imitent parfois des User-Agents légitimes et des patterns de navigation crédibles.

DNS

Technique particulièrement furtive. Les requêtes DNS sont rarement bloquées ou inspectées, et chaque requête peut encoder quelques octets de données dans le nom de domaine ou les types de records (TXT, NULL). DNS tunneling permet de faire passer un canal complet par ce protocole. Exemple emblématique : SUNBURST dans SolarWinds utilisait DNS pour signaler son activation aux attaquants.

Protocoles web chiffrés (WebSockets, gRPC)

Protocoles modernes parfois utilisés pour leur discrétion. Le trafic ressemble à des applications web modernes.

Services cloud légitimes

Tendance montante : utiliser des services cloud publics comme C2. L'implant communique avec Slack, Dropbox, Google Drive, GitHub, Discord, Telegram, OneDrive. Le trafic sort vers des destinations whitelistées par défaut dans la plupart des organisations. Très difficile à bloquer sans couper des usages légitimes.

Protocoles non-standards

ICMP (ping avec payload), UDP custom, protocoles applicatifs détournés (SMB, SMTP). Moins courants car plus faciles à détecter mais efficaces dans certains contextes.

04 — FrameworksPaysage des outils C2

Cobalt Strike — la référence dominante

Plateforme commerciale développée par Fortra (anciennement Strategic Cyber LLC, puis HelpSystems). Licence légitime à environ 6 000 $ par utilisateur et par an, destinée aux Red Teams et pentesters.

Fonctionnalités clés :

  • Beacon : implant flexible, configurable finement (jitter, sleep, protocoles).
  • Malleable C2 profiles : personnalisation complète du trafic pour imiter des applications légitimes.
  • Aggressor Script : scripting pour automatiser des opérations.
  • Interface collaborative : plusieurs opérateurs sur la même mission.
  • Intégrations : outils Red Team modernes (Mimikatz, BloodHound, etc.).

Problème : versions crackées massivement diffusées depuis plus de 10 ans. Selon Recorded Future, Microsoft et Mandiant, Cobalt Strike apparaît dans la majorité des attaques ransomware et APT majeures 2020-2024. En 2023, Microsoft et Fortra ont obtenu une ordonnance judiciaire pour désactiver des milliers d'infrastructures utilisant des versions crackées. L'outil reste paradoxalement crucial côté défense (Red Team) et largement abusé côté attaque.

Sliver — l'alternative open source

Framework open source développé par BishopFox, gagnant en popularité 2022-2026. Écrit en Go, multi-plateforme, multi-protocoles (DNS, HTTPS, WireGuard, mTLS), plus moderne dans sa conception. Référence populaire pour :

  • Les Red Teams qui veulent une alternative à Cobalt Strike sans coût de licence.
  • Les attaquants qui cherchent à éviter les signatures massivement détectées de Cobalt Strike.
  • Les pentesters souhaitant un outil moderne avec communauté active.

Sliver a été observé dans plusieurs opérations réelles depuis 2022 (campagnes BlackCat/ALPHV notamment).

Brute Ratel C4 — premium post-Cobalt Strike

Framework commercial développé par Chetan Nayak (ex-Red Team Microsoft, Mandiant). Très cher (~2 500 $ par licence), réputé pour sa discrétion supérieure face aux EDR. Licences volées apparues sur des forums criminels en 2022, entraînant son utilisation dans des campagnes ransomware. L'éditeur a depuis renforcé la vérification des clients mais le code cracké continue de circuler.

Mythic — framework modulaire

Projet open source orchestré par SpecterOps, approche modulaire où plusieurs agents (Apollo, Poseidon, Athena, Medusa) peuvent coexister sous une interface unifiée. Populaire dans la communauté Red Team pour sa flexibilité et la facilité d'écriture de nouveaux agents.

Metasploit Framework — le pionnier

Développé par Rapid7, disponible en version gratuite et Pro. Plus ancien des frameworks largement utilisés. Module C2 basique mais fonctionnel. Très utilisé en formation et pentesting junior. Moins discret que les alternatives modernes, donc moins adapté aux opérations avancées.

Autres frameworks notables

  • Empire / Starkiller : successeur du projet Empire (2015-2019), maintenu par BC-Security. Spécialisé PowerShell et Python. Open source.
  • Covenant : framework .NET moderne, développé par Ryan Cobb.
  • Havoc : framework récent (2022+), moderne, open source, en croissance.
  • NightHawk : alternative premium à Cobalt Strike, MDSec.
  • Nimplant : implants écrits en Nim, tendance 2023-2025.
  • Villain : framework collaboratif simple pour sessions reverse shell.

C2 spécifiques aux malwares criminels

Certaines familles ont leurs C2 custom :

  • Emotet C2 : infrastructure historique démantelée 2021, reconstituée depuis.
  • Cl0p, LockBit panels : panels de gestion spécifiques aux opérations ransomware.
  • Infostealer C2 (RedLine, LummaC2, Vidar) : panels simples orientés collecte et revente des données volées.

05 — ÉvasionTechniques pour échapper à la détection

Jitter et sleep

Les implants introduisent des variations aléatoires dans leur intervalle de connexion (« jitter ») pour ne pas apparaître comme du trafic parfaitement régulier. Certains ajoutent des périodes de sommeil longues (« sleep » de plusieurs heures) pour rendre l'analyse statistique beaucoup plus difficile.

Imitation de trafic légitime

Les malleable profiles de Cobalt Strike permettent de faire passer le trafic C2 pour n'importe quel service web : trafic Amazon, Google Analytics, Microsoft Office 365, Slack. Les headers, cookies, user-agents et structures de requêtes sont fidèlement reproduits.

Chiffrement et obfuscation

Tous les frameworks modernes chiffrent leurs communications. Certains utilisent du chiffrement authentifié personnalisé pour échapper aux signatures sur le trafic chiffré. Les empreintes TLS (JA3, JA3S) sont manipulées pour imiter des navigateurs légitimes.

Rotation d'infrastructure

Rotation fréquente des serveurs C2, des domaines, des IP. Usage de fournisseurs bulletproof et de services cloud légitimes. Mise en place de nouveaux redirecteurs en cas de détection d'un précédent.

Usage de services légitimes

Tendance forte en 2024-2026 : utilisation de services cloud populaires comme C2. GitHub pour stocker les commandes, Telegram comme canal de contrôle, Dropbox/Google Drive comme dead drop pour les données volées, Discord comme notification des beacons. Très difficile à bloquer sans impacter des usages légitimes.

Living-off-the-land C2

Utilisation des protocoles et outils déjà présents dans l'environnement cible. SMB pour la communication latérale, WMI pour l'exécution à distance, services Microsoft cloud (Azure, Office 365) comme canaux.

Anti-forensics

Nettoyage des traces, mécanismes de destruction à distance, connexions à courte durée, obfuscation du code en mémoire. Certains implants s'autodétruisent en cas de détection de sandbox ou d'analyse dynamique.

06 — DétectionDéfense et détection du C2

1. Blocage préventif via threat intelligence
  • Flux d'IP et domaines C2 connus intégrés aux pare-feu, proxy, DNS filtrant.
  • Sources : threat intelligence commerciale, CERT-FR, ANSSI, Abuse.ch (URLhaus, ThreatFox), AlienVault OTX.
  • Mise à jour automatique des listes plusieurs fois par jour.
  • Note : rattrape les attaques connues, pas les nouvelles infrastructures.
2. Détection du beaconing
  • Analyse statistique du trafic réseau pour identifier les connexions périodiques régulières.
  • Outils dédiés : RITA (Real Intelligence Threat Analytics) open source, fonctionnalités intégrées aux NDR (Vectra AI, ExtraHop, Darktrace, Corelight).
  • Le beaconing reste un indicateur robuste même avec jitter.
  • Corrélation avec la threat intelligence pour prioriser les investigations.
3. Fingerprinting TLS
  • JA3/JA3S pour identifier les empreintes de clients et serveurs TLS caractéristiques d'outils malveillants.
  • JARM pour le fingerprinting côté serveur — très efficace pour repérer les serveurs Cobalt Strike, Sliver, Metasploit.
  • Bases de données publiques (abuse.ch) listent des milliers d'empreintes connues.
  • Détection côté réseau sans avoir besoin de déchiffrer le trafic.
4. Inspection applicative et comportementale
  • EDR/XDR modernes avec détection comportementale des implants.
  • Détection des processus suspects (injection, beaconing sortant, connexions vers domaines fraîchement enregistrés).
  • Mémoire scanning pour détecter les implants en cours d'exécution.
  • Corrélation multi-signaux (processus + réseau + fichier).
5. DNS et inspection du protocole
  • Inspection DNS pour détecter les requêtes anormales (TXT records massifs, noms suspects, domaines fraîchement créés).
  • DNS filtrant avec listes de domaines malveillants (Cisco Umbrella, Quad9, Zscaler, Google Public DNS 8.8.4.4 filtered).
  • DoH/DoT restreints : forcer le DNS à passer par les résolveurs internes plutôt que via des services chiffrés externes qui échappent à l'inspection.
  • Alerte sur les domaines nouvellement enregistrés (< 30 jours) accédés depuis le réseau.
6. Segmentation et contrôle d'exfiltration
  • Micro-segmentation pour empêcher les machines non-serveur d'initier des connexions sortantes directes.
  • Proxy web obligatoire avec inspection TLS pour tout le trafic sortant.
  • Bloquer les connexions sortantes sur ports non-standard depuis les postes utilisateurs.
  • DLP pour détecter les exfiltrations volumétriques.
  • Geofencing (bloquer les connexions vers des pays non-utilisés légitimement).
7. Chasse et investigation
  • Threat hunting proactif sur les patterns C2 connus.
  • Exercices Red Team/Purple Team pour tester les détections en conditions réelles.
  • Revue périodique des logs réseau et endpoint.
  • Corrélation avec les IOC émis par les CERT.
  • Participation aux communautés de partage d'indicateurs (MISP, ISACs sectoriels).

07 — CasUsages réels documentés

SolarWinds / SUNBURST (2020)

L'un des exemples les plus sophistiqués de C2. Le backdoor SUNBURST, injecté dans les mises à jour du logiciel Orion de SolarWinds, utilisait DNS pour son C2. L'implant émettait des requêtes DNS vers avsvmcloud.com avec des sous-domaines encodés contenant l'identifiant de la victime. Le serveur répondait avec des enregistrements CNAME ou A particuliers selon que la victime était intéressante ou non. Les victimes intéressantes recevaient ensuite un second stade (TEARDROP, Cobalt Strike) sur un canal C2 plus classique. Impact : environ 18 000 clients SolarWinds ont installé la version backdoorée, quelques dizaines ont été ciblés activement.

Cobalt Strike dans les campagnes ransomware

Depuis 2019, la quasi-totalité des grandes opérations ransomware (Conti, LockBit, BlackCat, Ryuk, Maze, Revil) ont utilisé Cobalt Strike comme implant principal. Le déroulement typique : compromission initiale via phishing ou accès initial acheté, déploiement du Beacon Cobalt Strike, reconnaissance réseau, vol d'identifiants (Mimikatz), déplacement latéral, exfiltration, déploiement final du ransomware. Les IOCs Cobalt Strike sont devenus des signaux classiques dans les rapports Mandiant, CrowdStrike, Recorded Future.

APT29 — infrastructures sophistiquées

Le groupe APT29 (Cozy Bear, attribué au SVR russe) est connu pour ses infrastructures C2 très raffinées. MiniDuke, DuoDrop, WellMess, WellMail : toute une gamme d'implants avec C2 personnalisés. Utilisation intensive du domain fronting via des CDN légitimes, rotation rapide, dormance possible pendant des mois.

TeamTNT — cryptojacking cloud

Groupe spécialisé dans l'exploitation de containers et clouds mal configurés pour cryptojacking et vol d'identifiants cloud. C2 particulièrement adapté aux environnements Kubernetes et Docker, communication via IRC historiquement puis protocoles modernes. Active 2019-2023 principalement.

Volt Typhoon (2023-2024)

Groupe attribué à la Chine, ciblant les infrastructures critiques américaines (énergie, eau, transport, télécoms). Approche « living-off-the-land » : usage quasi exclusif d'outils système légitimes (PowerShell, WMI, netsh) comme canaux de commande et de communication, évitant les signatures classiques de C2. Cas emblématique des attaques APT modernes où la frontière entre C2 custom et exploitation d'outils natifs s'estompe.

Snake malware (2023)

Découvert et documenté par le FBI et la NSA en mai 2023, attribué au Centre 16 du FSB russe (Turla). Infrastructure C2 P2P sophistiquée, en activité depuis environ 2003. Peer-to-peer avec chiffrement personnalisé, 20 ans d'opération continue en grande partie non détectée. L'opération MEDUSA du FBI a neutralisé une grande partie de l'infrastructure en envoyant des commandes d'auto-suppression aux implants eux-mêmes.

08 — FAQQuestions fréquentes

Un antivirus classique détecte-t-il le trafic C2 ?

Peu ou pas. Les antivirus traditionnels basés sur signatures détectent éventuellement les binaires des implants connus mais pas les communications réseau. Les EDR/XDR modernes intègrent de la détection comportementale qui identifie mieux les patterns de beaconing et les connexions suspectes. La détection réseau (NDR, inspection trafic) est complémentaire et souvent plus efficace pour le C2 spécifiquement.

Pourquoi les attaquants n'utilisent-ils pas simplement Telegram ou Discord ?

Certains le font, et c'est une tendance croissante. Avantages : trafic sortant vers destination whitelisté par défaut, TLS légitime, pas d'infrastructure à maintenir. Inconvénients : les plateformes ferment les comptes abusifs quand elles les détectent, fonctionnalités C2 limitées, logs conservés par la plateforme accessibles aux autorités. L'usage se limite souvent à de la notification, du relais léger ou du dead drop. Les frameworks professionnels conservent des infrastructures dédiées pour le contrôle principal.

Le chiffrement des communications empêche-t-il la détection ?

Il la complique mais ne l'empêche pas. Même avec du trafic chiffré, plusieurs signaux restent détectables : empreintes TLS (JA3/JA3S, JARM), patterns de beaconing, destinations, volumétrie, métadonnées. L'inspection TLS (déchiffrement puis réchiffrement) via un proxy explicite reste une option pour les entreprises qui l'acceptent. Les techniques comme ESNI, ECH et DoH compliquent l'inspection mais la détection comportementale reste efficace.

Pourquoi C2 est-il écrit parfois C&C ou C² ?

Purement une question de typographie et de convention. C&C est l'écriture la plus ancienne (Command & Control). C² est l'écriture militaire formelle. C2 est devenu la forme dominante en cybersécurité moderne par simplicité typographique, particulièrement dans les outils comme MITRE ATT&CK, les rapports SOC et les interfaces logicielles. Les trois désignent exactement la même chose.

Les attaques sans C2 existent-elles ?

Rarement pour les attaques sophistiquées. Quelques cas : ransomware pur sans exfiltration (compromission → chiffrement immédiat sans autre communication), certains wipers destructifs, attaques one-shot très ciblées. Mais la plupart des opérations modernes (surtout les plus dangereuses : APT, ransomware avec double extorsion) reposent sur un canal C2 pour coordonner les phases de l'attaque. Couper le C2 reste donc l'un des leviers de disruption les plus efficaces.