Botnet PowMix
I ricercatori di sicurezza informatica hanno identificato una campagna malevola in corso contro i lavoratori nella Repubblica Ceca almeno dal dicembre 2025. Al centro di questa operazione si trova una botnet finora sconosciuta, nota come PowMix. Questa minaccia è progettata per eludere i tradizionali meccanismi di rilevamento evitando connessioni persistenti alla sua infrastruttura di comando e controllo (C2), affidandosi invece a schemi di comunicazione casuali.
Sommario
Comunicazione furtiva: tecniche avanzate di elusione del comando e controllo (C2).
PowMix sfrutta metodi sofisticati per rimanere inosservato all'interno degli ambienti di rete. Invece di mantenere un contatto continuo con i suoi server C2, utilizza intervalli di beaconing casuali generati tramite comandi PowerShell. Questi intervalli inizialmente vanno da 0 a 261 secondi e successivamente si estendono fino a un intervallo compreso tra 1.075 e 1.450 secondi, interrompendo efficacemente i modelli di traffico prevedibili.
Inoltre, la botnet incorpora dati di heartbeat crittografati e identificatori univoci delle vittime direttamente nei percorsi URL del server C2, simulando il traffico legittimo delle API REST. Questa struttura consente al malware di integrarsi perfettamente con le normali comunicazioni di rete. La botnet è anche in grado di aggiornare dinamicamente il proprio dominio C2 tramite il file di configurazione, garantendo la continuità operativa anche in caso di modifiche all'infrastruttura.
Catena di infezione: strategia di implementazione a più fasi
L'attacco inizia con un archivio ZIP dannoso, in genere distribuito tramite e-mail di phishing. Una volta aperto, l'archivio innesca un processo di infezione a più fasi attentamente orchestrato:
- Un file di collegamento di Windows (LNK) avvia l'esecuzione
- Un loader PowerShell estrae e decifra il payload incorporato
- Il malware viene eseguito direttamente in memoria, riducendo al minimo gli artefatti su disco.
Questo approccio di esecuzione senza file riduce significativamente la probabilità di rilevamento da parte dei tradizionali strumenti di sicurezza.
Capacità e meccanismi di persistenza
PowMix è progettato come uno strumento versatile per l'accesso remoto, che consente agli aggressori di condurre attività di ricognizione, eseguire codice arbitrario e mantenere il controllo a lungo termine sui sistemi compromessi. La persistenza è garantita dalla creazione di attività pianificate, che assicurano che il malware rimanga attivo anche dopo il riavvio del sistema.
Per mantenere la stabilità operativa, il malware verifica l'albero dei processi per impedire l'esecuzione simultanea di più istanze sullo stesso host.
Framework di esecuzione dei comandi: architettura di controllo flessibile
La botnet supporta due categorie principali di comandi emessi dal server C2. Il suo comportamento è determinato dal formato della risposta del server:
I comandi senza prefisso '#' attivano la modalità di esecuzione arbitraria, spingendo il malware a decrittografare ed eseguire i payload ricevuti.
I comandi speciali includono:
#KILL: Avvia l'autoeliminazione e rimuove ogni traccia di attività dannosa
#HOST: Aggiorna l'indirizzo del server C2 della botnet per garantire la continuità della comunicazione.
Questa struttura di comandi flessibile consente agli operatori di adattare il comportamento del malware in tempo reale.
Strategia di ingegneria sociale: documenti esca come diversivo
Per aumentarne l'efficacia, la campagna incorpora tattiche di ingegneria sociale. Alle vittime vengono presentati documenti esca con temi relativi alla conformità, progettati per apparire legittimi. Questi documenti fanno riferimento a marchi noti come Edeka e includono dettagli sui compensi, oltre a riferimenti legislativi legittimi. Tali elementi hanno lo scopo di creare fiducia e ingannare i bersagli, in particolare i candidati in cerca di lavoro, inducendoli a interagire con i contenuti dannosi.
Sovrapposizione tattica: collegamenti con la campagna ZipLine
L'analisi rivela somiglianze tra PowMix e una campagna precedentemente nota come ZipLine, che ha preso di mira i settori manifatturieri critici per la catena di approvvigionamento nell'agosto 2025. Le tattiche comuni includono la consegna del payload tramite file ZIP, la persistenza tramite attività programmate e l'utilizzo dell'infrastruttura Heroku per le operazioni di comando e controllo (C2).
Nonostante queste sovrapposizioni, non sono stati osservati ulteriori payload oltre alla botnet PowMix stessa. Ciò lascia incertezza sugli obiettivi finali della campagna, suggerendo che in futuro potrebbero emergere ulteriori sviluppi o payload di secondo livello.
