Mando y control (C2)

El mando y control (C2 o C&C) son los servidores, protocolos y patrones de tráfico que permiten al atacante gestionar el malware implantado tras el compromiso inicial. Los canales C2 entregan órdenes, recogen datos robados, distribuyen nuevas cargas y coordinan operaciones multi-host. Los operadores emplean HTTP(S), DNS tunneling, aplicaciones de mensajería, redes sociales, APIs de nube e incluso SaaS legítimo para camuflarse, y usan algoritmos de generación de dominios (DGA), DNS fast-flux, redirectores y cifrado para ser resistentes. Las defensas incluyen filtrado saliente, analítica DNS, inspección TLS donde sea legal, NDR, y disrupción de C2 mediante operativos de takedown o sinkholing.