PowMix Botnet

كشف باحثو الأمن السيبراني عن حملة خبيثة مستمرة تستهدف القوى العاملة في جمهورية التشيك منذ ديسمبر 2025 على الأقل. ويتمحور هذا الهجوم حول شبكة بوتات غير موثقة سابقًا تُعرف باسم PowMix. صُمم هذا التهديد للتهرب من آليات الكشف التقليدية عن طريق تجنب الاتصالات المستمرة ببنية التحكم والسيطرة الخاصة به، معتمدًا بدلًا من ذلك على أنماط اتصال عشوائية.

الاتصالات الخفية: تقنيات متقدمة للتهرب من أنظمة القيادة والسيطرة

تستخدم PowMix أساليب متطورة للبقاء متخفية داخل بيئات الشبكة. فبدلاً من الحفاظ على اتصال مستمر مع خوادم التحكم والسيطرة الخاصة بها، تستخدم فترات إرسال إشارات عشوائية يتم إنشاؤها عبر أوامر PowerShell. تتراوح هذه الفترات مبدئيًا من 0 إلى 261 ثانية، ثم تمتد لاحقًا إلى ما بين 1075 و1450 ثانية، مما يُعطّل أنماط حركة البيانات المتوقعة بشكل فعّال.

بالإضافة إلى ذلك، يقوم برنامج الروبوتات بتضمين بيانات نبضات القلب المشفرة ومعرّفات الضحايا الفريدة مباشرةً في مسارات عناوين URL الخاصة بخادم التحكم والسيطرة، محاكياً بذلك حركة مرور واجهة برمجة تطبيقات REST المشروعة. يُمكّن هذا التصميم البرمجية الخبيثة من الاندماج بسلاسة مع اتصالات الشبكة العادية. كما أن برنامج الروبوتات قادر على تحديث نطاق خادم التحكم والسيطرة الخاص به ديناميكيًا من خلال ملف التكوين الخاص به، مما يضمن استمرارية التشغيل حتى في حال حدوث تغييرات في البنية التحتية.

سلسلة العدوى: استراتيجية نشر متعددة المراحل

يبدأ الهجوم بملف مضغوط خبيث (ZIP)، يتم توزيعه عادةً عبر رسائل البريد الإلكتروني التصيدية. وبمجرد فتحه، يُفعّل الملف عملية إصابة مُنظمة بعناية ومتعددة المراحل:

• يبدأ ملف اختصار ويندوز (LNK) عملية التنفيذ
• يقوم برنامج تحميل PowerShell باستخراج وفك تشفير الحمولة المضمنة
• يتم تنفيذ البرامج الضارة مباشرة في الذاكرة، مما يقلل من آثار القرص.

يقلل أسلوب التنفيذ بدون ملفات هذا بشكل كبير من احتمالية اكتشافه بواسطة أدوات الأمان التقليدية.

القدرات وآليات الاستمرارية

صُمم برنامج PowMix كأداة وصول عن بُعد متعددة الاستخدامات، تُمكّن المهاجمين من إجراء عمليات استطلاع، وتنفيذ تعليمات برمجية عشوائية، والحفاظ على سيطرة طويلة الأمد على الأنظمة المخترقة. ويتحقق استمرار البرنامج الخبيث من خلال إنشاء مهام مجدولة، مما يضمن بقاءه نشطًا حتى بعد إعادة تشغيل النظام.

وللحفاظ على استقرار التشغيل، يقوم البرنامج الضار بالتحقق من شجرة العمليات لمنع تشغيل عدة نسخ في وقت واحد على نفس المضيف.

إطار تنفيذ الأوامر: بنية تحكم مرنة

يدعم برنامج الروبوتات فئتين رئيسيتين من الأوامر الصادرة من خادم التحكم والسيطرة. ويتحدد سلوكه من خلال تنسيق استجابة الخادم:

تؤدي الأوامر التي لا تبدأ بعلامة "#" إلى تفعيل وضع التنفيذ العشوائي، مما يدفع البرامج الضارة إلى فك تشفير وتنفيذ الحمولات المستلمة.

تشمل الأوامر الخاصة ما يلي:

#KILL: يبدأ عملية الحذف الذاتي ويزيل جميع آثار النشاط الضار

#HOST: يقوم بتحديث عنوان خادم التحكم والسيطرة الخاص بشبكة الروبوتات لضمان استمرار الاتصال

تتيح بنية الأوامر المرنة هذه للمشغلين تعديل سلوك البرامج الضارة في الوقت الفعلي.

طبقة الهندسة الاجتماعية: المستندات المزيفة كوسيلة للتشتيت

لتعزيز فعاليتها، تستخدم الحملة أساليب الهندسة الاجتماعية. إذ تُعرض على الضحايا وثائق مزيفة تحمل طابعًا قانونيًا، وتُشير إلى علامات تجارية معروفة مثل "إيديكا"، وتتضمن تفاصيل التعويضات إلى جانب مراجع تشريعية رسمية. تهدف هذه العناصر إلى بناء الثقة وخداع الضحايا، وخاصة الباحثين عن عمل، لحملهم على التفاعل مع المحتوى الخبيث.

التداخل التكتيكي: روابط لحملة زيب لاين

يكشف التحليل عن أوجه تشابه بين PowMix وحملة تم الكشف عنها سابقًا تُعرف باسم ZipLine، والتي استهدفت قطاعات التصنيع الحيوية لسلسلة التوريد في أغسطس 2025. وتشمل التكتيكات المشتركة تسليم الحمولة القائمة على ZIP، والاستمرارية من خلال المهام المجدولة، واستخدام بنية Heroku التحتية لعمليات C2.

على الرغم من هذه التداخلات، لم تُلاحظ أي حمولات إضافية خارج شبكة بوتات PowMix نفسها. وهذا يُبقي الغموض يكتنف الأهداف النهائية للحملة، مما يُشير إلى احتمال ظهور تطورات أخرى أو حمولات ثانوية في المستقبل.