Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Xarxa de bots PowMix

Xarxa de bots PowMix

El Mezo el Botnets
Traduir a:

Investigadors de ciberseguretat han identificat una campanya maliciosa en curs dirigida a la força laboral a la República Txeca des d'almenys el desembre del 2025. Al centre d'aquesta operació hi ha una botnet prèviament indocumentada coneguda com a PowMix. Aquesta amenaça està dissenyada per evadir els mecanismes de detecció tradicionals evitant connexions persistents a la seva infraestructura de comandament i control (C2), basant-se en patrons de comunicació aleatoris.

Comunicació furtiva: tècniques avançades d’evasió C2

PowMix aprofita mètodes sofisticats per no ser detectat en entorns de xarxa. En lloc de mantenir un contacte continu amb els seus servidors C2, utilitza intervals de balises aleatoris generats mitjançant ordres de PowerShell. Aquests intervals inicialment oscil·len entre 0 i 261 segons i posteriorment s'allarguen entre 1.075 i 1.450 segons, interrompent eficaçment els patrons de trànsit predictibles.

A més, la botnet integra dades xifrades dels batecs del cor i identificadors únics de les víctimes directament a les rutes d'URL C2, imitant el trànsit legítim de l'API REST. Aquest disseny permet que el programari maliciós es combini perfectament amb les comunicacions de xarxa normals. La botnet també és capaç d'actualitzar dinàmicament el seu domini C2 a través del seu fitxer de configuració, garantint la continuïtat operativa fins i tot si la infraestructura canvia.

Cadena d’infecció: estratègia de desplegament en diverses etapes

L'atac comença amb un arxiu ZIP maliciós, que normalment es distribueix a través de correus electrònics de phishing. Un cop obert, l'arxiu desencadena un procés d'infecció de diverses etapes acuradament orquestrat:

  • Un fitxer de drecera de Windows (LNK) inicia l'execució
  • Un carregador de PowerShell extreu i desxifra la càrrega útil incrustada
  • El programari maliciós s'executa directament a la memòria, minimitzant els artefactes del disc.

Aquest enfocament d'execució sense fitxers redueix significativament la probabilitat de detecció per part d'eines de seguretat convencionals.

Capacitats i mecanismes de persistència

PowMix està dissenyat com una eina versàtil d'accés remot, que permet als atacants dur a terme reconeixements, executar codi arbitrari i mantenir el control a llarg termini sobre els sistemes compromesos. La persistència s'aconsegueix mitjançant la creació de tasques programades, garantint que el programari maliciós romangui actiu després de reiniciar el sistema.

Per mantenir l'estabilitat operativa, el programari maliciós verifica l'arbre de processos per evitar que diverses instàncies s'executin simultàniament al mateix host.

Marc d’execució d’ordres: arquitectura de control flexible

La botnet admet dues categories principals d'ordres emeses des del servidor C2. El seu comportament està determinat pel format de la resposta del servidor:

Les ordres sense el prefix '#' activen un mode d'execució arbitrari, cosa que fa que el programari maliciós desxifri i executi les dades rebudes.

Les ordres especials inclouen:

#KILL: Inicia l'autoeliminació i elimina tot rastre d'activitat maliciosa

#HOST: Actualitza l'adreça del servidor C2 de la botnet per a la comunicació continuada.

Aquesta estructura d'ordres flexible permet als operadors adaptar el comportament del programari maliciós en temps real.

Capa d’enginyeria social: documents esquer com a distracció

Per augmentar la seva eficàcia, la campanya incorpora tàctiques d'enginyeria social. Es presenten a les víctimes documents esquer amb temes relacionats amb el compliment normatiu dissenyats per semblar legítims. Aquests documents fan referència a marques conegudes com Edeka i inclouen detalls sobre la compensació juntament amb referències legislatives legítimes. Aquests elements tenen com a objectiu generar confiança i enganyar els objectius, especialment els que busquen feina, perquè interactuïn amb el contingut maliciós.

Superposició tàctica: enllaços a la campanya ZipLine

L'anàlisi revela similituds entre PowMix i una campanya prèviament divulgada coneguda com a ZipLine, que es va dirigir a sectors de fabricació crítics per a la cadena de subministrament a l'agost de 2025. Les tàctiques compartides inclouen el lliurament de càrrega útil basat en ZIP, la persistència mitjançant tasques programades i l'ús de la infraestructura Heroku per a operacions C2.

Malgrat aquestes coincidències, no s'han observat càrregues útils addicionals més enllà de la pròpia xarxa de bots PowMix. Això genera incertesa sobre els objectius finals de la campanya, cosa que suggereix que en el futur podrien sorgir més desenvolupaments o càrregues útils de segona etapa.

Tendència

Més vist

Carregant...