PowMix Botnet
사이버 보안 연구원들은 2025년 12월부터 체코 공화국의 직장인들을 대상으로 한 악성 캠페인이 진행 중임을 확인했습니다. 이 공격의 중심에는 이전에 알려지지 않았던 PowMix라는 봇넷이 있습니다. 이 위협은 명령 및 제어(C2) 인프라와의 지속적인 연결을 피하고 무작위적인 통신 패턴을 사용하여 기존 탐지 메커니즘을 회피하도록 설계되었습니다.
목차
은밀한 통신: 고급 C2 회피 기술
PowMix는 정교한 기법을 활용하여 네트워크 환경 내에서 탐지되지 않도록 합니다. C2 서버와 지속적인 연결을 유지하는 대신, PowerShell 명령어를 통해 생성된 무작위 비콘 신호를 전송합니다. 이러한 신호 전송 간격은 초기에는 0~261초 범위이며, 이후에는 1,075~1,450초 범위로 확장되어 예측 가능한 트래픽 패턴을 효과적으로 방해합니다.
또한, 이 봇넷은 암호화된 하트비트 데이터와 고유한 피해자 식별자를 C2 URL 경로에 직접 삽입하여 정상적인 REST API 트래픽처럼 위장합니다. 이러한 설계 덕분에 악성코드는 일반 네트워크 통신에 완벽하게 섞여 들어갈 수 있습니다. 뿐만 아니라, 이 봇넷은 구성 파일을 통해 C2 도메인을 동적으로 업데이트할 수 있어 인프라 변경이 있더라도 운영 연속성을 보장합니다.
감염 사슬: 다단계 배포 전략
이 공격은 악성 ZIP 압축 파일로 시작되며, 일반적으로 피싱 이메일을 통해 배포됩니다. 압축 파일을 열면 치밀하게 계획된 다단계 감염 과정이 시작됩니다.
- Windows 바로가기(LNK) 파일이 실행을 시작합니다.
- PowerShell 로더는 내장된 페이로드를 추출하고 복호화합니다.
- 이 악성코드는 메모리에서 직접 실행되므로 디스크에 흔적이 거의 남지 않습니다.
이러한 파일 없는 실행 방식은 기존 보안 도구에 의한 탐지 가능성을 크게 줄여줍니다.
기능 및 지속성 메커니즘
PowMix는 공격자가 정찰 활동을 수행하고, 임의 코드를 실행하며, 감염된 시스템에 대한 장기적인 제어권을 유지할 수 있도록 설계된 다목적 원격 접속 도구입니다. 지속성은 예약된 작업을 생성하여 시스템 재부팅 후에도 악성코드가 활성 상태를 유지하도록 함으로써 확보됩니다.
악성 프로그램은 운영 안정성을 유지하기 위해 프로세스 트리를 검증하여 동일한 호스트에서 여러 인스턴스가 동시에 실행되는 것을 방지합니다.
명령 실행 프레임워크: 유연한 제어 아키텍처
봇넷은 C2 서버에서 발행되는 두 가지 주요 명령 범주를 지원합니다. 봇넷의 동작은 서버 응답 형식에 따라 결정됩니다.
'#' 접두사 없이 명령어를 입력하면 임의 실행 모드가 활성화되어 악성 프로그램이 수신된 페이로드를 복호화하고 실행합니다.
특별 명령어는 다음과 같습니다.
#KILL: 자체 삭제를 시작하여 악성 활동의 모든 흔적을 제거합니다.
#HOST: 봇넷의 C2 서버 주소를 업데이트하여 지속적인 통신을 유지합니다.
이러한 유연한 명령 구조를 통해 운영자는 악성 프로그램의 동작을 실시간으로 조정할 수 있습니다.
사회공학적 기법: 주의를 분산시키기 위한 미끼 문서
이 캠페인은 효과를 극대화하기 위해 사회공학적 전술을 활용합니다. 피해자들에게는 합법적으로 보이도록 고안된, 규정 준수 관련 주제를 담은 가짜 문서가 제시됩니다. 이 문서에는 에데카(Edeka)와 같은 유명 브랜드가 언급되고, 합법적인 법률 조항과 함께 보상 세부 정보가 포함되어 있습니다. 이러한 요소들은 특히 구직자들을 포함한 피해자들이 악성 콘텐츠에 참여하도록 유도하여 신뢰를 구축하고 속이려는 의도입니다.
전술적 중복: 짚라인 캠페인 링크
분석 결과, PowMix는 2025년 8월 공급망 핵심 제조 부문을 표적으로 삼았던 ZipLine이라는 기존 공격 캠페인과 유사점이 있는 것으로 나타났습니다. 두 캠페인은 ZIP 기반 페이로드 전달, 예약된 작업을 통한 지속성 유지, C2 운영을 위한 Heroku 인프라 사용 등 공통적인 전술을 사용했습니다.
이러한 중복에도 불구하고, PowMix 봇넷 자체 외에 추가적인 악성코드는 발견되지 않았습니다. 이는 이번 공격의 궁극적인 목표에 대한 불확실성을 남기며, 향후 추가적인 개발이나 2단계 악성코드가 등장할 가능성을 시사합니다.
