PowMix ਬੋਟਨੈੱਟ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਘੱਟੋ-ਘੱਟ ਦਸੰਬਰ 2025 ਤੋਂ ਚੈੱਕ ਗਣਰਾਜ ਵਿੱਚ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਚੱਲ ਰਹੀ ਖਤਰਨਾਕ ਮੁਹਿੰਮ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਇੱਕ ਪਹਿਲਾਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਬੋਟਨੈੱਟ ਹੈ ਜਿਸਨੂੰ PowMix ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਖ਼ਤਰਾ ਰਵਾਇਤੀ ਖੋਜ ਵਿਧੀਆਂ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਨਿਰੰਤਰ ਕਨੈਕਸ਼ਨਾਂ ਤੋਂ ਬਚ ਕੇ, ਬੇਤਰਤੀਬ ਸੰਚਾਰ ਪੈਟਰਨਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ।

ਸਟੀਲਥ ਸੰਚਾਰ: ਉੱਨਤ C2 ਚੋਰੀ ਤਕਨੀਕਾਂ

PowMix ਨੈੱਟਵਰਕ ਵਾਤਾਵਰਣਾਂ ਦੇ ਅੰਦਰ ਅਣਪਛਾਤੇ ਰਹਿਣ ਲਈ ਸੂਝਵਾਨ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਆਪਣੇ C2 ਸਰਵਰਾਂ ਨਾਲ ਨਿਰੰਤਰ ਸੰਪਰਕ ਬਣਾਈ ਰੱਖਣ ਦੀ ਬਜਾਏ, ਇਹ PowerShell ਕਮਾਂਡਾਂ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਗਏ ਬੇਤਰਤੀਬ ਬੀਕਨਿੰਗ ਅੰਤਰਾਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਅੰਤਰਾਲ ਸ਼ੁਰੂ ਵਿੱਚ 0 ਤੋਂ 261 ਸਕਿੰਟਾਂ ਤੱਕ ਹੁੰਦੇ ਹਨ ਅਤੇ ਬਾਅਦ ਵਿੱਚ 1,075 ਅਤੇ 1,450 ਸਕਿੰਟਾਂ ਦੇ ਵਿਚਕਾਰ ਫੈਲ ਜਾਂਦੇ ਹਨ, ਜੋ ਕਿ ਅਨੁਮਾਨਤ ਟ੍ਰੈਫਿਕ ਪੈਟਰਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਵਿਗਾੜਦੇ ਹਨ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਬੋਟਨੈੱਟ ਏਨਕ੍ਰਿਪਟਡ ਹਾਰਟਬੀਟ ਡੇਟਾ ਅਤੇ ਵਿਲੱਖਣ ਪੀੜਤ ਪਛਾਣਕਰਤਾਵਾਂ ਨੂੰ ਸਿੱਧੇ C2 URL ਮਾਰਗਾਂ ਵਿੱਚ ਏਮਬੈਡ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਜਾਇਜ਼ REST API ਟ੍ਰੈਫਿਕ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। ਇਹ ਡਿਜ਼ਾਈਨ ਮਾਲਵੇਅਰ ਨੂੰ ਆਮ ਨੈੱਟਵਰਕ ਸੰਚਾਰਾਂ ਨਾਲ ਸਹਿਜੇ ਹੀ ਮਿਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਬੋਟਨੈੱਟ ਆਪਣੀ ਸੰਰਚਨਾ ਫਾਈਲ ਰਾਹੀਂ ਆਪਣੇ C2 ਡੋਮੇਨ ਨੂੰ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਅਪਡੇਟ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਭਾਵੇਂ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਬਦਲਦਾ ਹੈ, ਕਾਰਜਸ਼ੀਲ ਨਿਰੰਤਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ: ਮਲਟੀ-ਸਟੇਜ ਡਿਪਲਾਇਮੈਂਟ ਰਣਨੀਤੀ

ਹਮਲਾ ਇੱਕ ਖਤਰਨਾਕ ZIP ਪੁਰਾਲੇਖ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਖੋਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਪੁਰਾਲੇਖ ਇੱਕ ਧਿਆਨ ਨਾਲ ਸੰਗਠਿਤ, ਬਹੁ-ਪੜਾਵੀ ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ:

• ਇੱਕ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ।
• ਇੱਕ ਪਾਵਰਸ਼ੈਲ ਲੋਡਰ ਏਮਬੈਡਡ ਪੇਲੋਡ ਨੂੰ ਐਕਸਟਰੈਕਟ ਅਤੇ ਡੀਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ।
• ਮਾਲਵੇਅਰ ਨੂੰ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਡਿਸਕ ਆਰਟੀਫੈਕਟਸ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦਾ ਹੈ।

ਇਹ ਫਾਈਲ ਰਹਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪਹੁੰਚ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੁਆਰਾ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਕਾਫ਼ੀ ਘਟਾਉਂਦੀ ਹੈ।

ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਸਥਿਰਤਾ ਵਿਧੀਆਂ

PowMix ਨੂੰ ਇੱਕ ਬਹੁਪੱਖੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲ ਵਜੋਂ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਖੋਜ ਕਰਨ, ਮਨਮਾਨੇ ਕੋਡ ਨੂੰ ਲਾਗੂ ਕਰਨ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਲੰਬੇ ਸਮੇਂ ਲਈ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਨਿਰਧਾਰਤ ਕਾਰਜਾਂ ਦੀ ਸਿਰਜਣਾ ਦੁਆਰਾ ਸਥਿਰਤਾ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋਏ ਕਿ ਮਾਲਵੇਅਰ ਸਿਸਟਮ ਰੀਬੂਟ ਦੌਰਾਨ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿੰਦਾ ਹੈ।

ਕਾਰਜਸ਼ੀਲ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਲਈ, ਮਾਲਵੇਅਰ ਇੱਕੋ ਹੋਸਟ 'ਤੇ ਇੱਕੋ ਸਮੇਂ ਕਈ ਉਦਾਹਰਣਾਂ ਨੂੰ ਚੱਲਣ ਤੋਂ ਰੋਕਣ ਲਈ ਪ੍ਰਕਿਰਿਆ ਟ੍ਰੀ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ।

ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਫਰੇਮਵਰਕ: ਲਚਕਦਾਰ ਕੰਟਰੋਲ ਆਰਕੀਟੈਕਚਰ

ਬੋਟਨੈੱਟ C2 ਸਰਵਰ ਤੋਂ ਜਾਰੀ ਕੀਤੇ ਗਏ ਦੋ ਪ੍ਰਾਇਮਰੀ ਸ਼੍ਰੇਣੀਆਂ ਦੇ ਕਮਾਂਡਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇਸਦਾ ਵਿਵਹਾਰ ਸਰਵਰ ਦੇ ਜਵਾਬ ਦੇ ਫਾਰਮੈਟ ਦੁਆਰਾ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ:

'#' ਪ੍ਰੀਫਿਕਸ ਤੋਂ ਬਿਨਾਂ ਕਮਾਂਡਾਂ ਮਨਮਾਨੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਮੋਡ ਨੂੰ ਚਾਲੂ ਕਰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਮਾਲਵੇਅਰ ਪ੍ਰਾਪਤ ਪੇਲੋਡਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕਰਦਾ ਹੈ।

ਖਾਸ ਹੁਕਮਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

#KILL: ਸਵੈ-ਮਿਟਾਉਣ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ ਅਤੇ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਦੇ ਸਾਰੇ ਨਿਸ਼ਾਨ ਹਟਾਉਂਦਾ ਹੈ।

#HOST: ਨਿਰੰਤਰ ਸੰਚਾਰ ਲਈ ਬੋਟਨੈੱਟ ਦੇ C2 ਸਰਵਰ ਪਤੇ ਨੂੰ ਅੱਪਡੇਟ ਕਰਦਾ ਹੈ।

ਇਹ ਲਚਕਦਾਰ ਕਮਾਂਡ ਢਾਂਚਾ ਆਪਰੇਟਰਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਦੇ ਵਿਵਹਾਰ ਨੂੰ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਅਨੁਕੂਲ ਬਣਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਪਰਤ: ਭਟਕਣਾ ਦੇ ਤੌਰ 'ਤੇ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਵਿਗਾੜਨਾ

ਆਪਣੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਲਈ, ਮੁਹਿੰਮ ਵਿੱਚ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ ਸ਼ਾਮਲ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਪੀੜਤਾਂ ਨੂੰ ਜਾਅਲੀ ਦਸਤਾਵੇਜ਼ ਪੇਸ਼ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਪਾਲਣਾ-ਸਬੰਧਤ ਥੀਮ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਜੋ ਜਾਇਜ਼ ਦਿਖਾਈ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਇਹ ਦਸਤਾਵੇਜ਼ ਐਡੇਕਾ ਵਰਗੇ ਮਸ਼ਹੂਰ ਬ੍ਰਾਂਡਾਂ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹਨ ਅਤੇ ਜਾਇਜ਼ ਵਿਧਾਨਕ ਹਵਾਲਿਆਂ ਦੇ ਨਾਲ-ਨਾਲ ਮੁਆਵਜ਼ੇ ਦੇ ਵੇਰਵੇ ਵੀ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ। ਅਜਿਹੇ ਤੱਤਾਂ ਦਾ ਉਦੇਸ਼ ਵਿਸ਼ਵਾਸ ਬਣਾਉਣਾ ਅਤੇ ਟੀਚਿਆਂ, ਖਾਸ ਕਰਕੇ ਨੌਕਰੀ ਲੱਭਣ ਵਾਲਿਆਂ ਨੂੰ, ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਨਾਲ ਜੁੜਨ ਲਈ ਧੋਖਾ ਦੇਣਾ ਹੈ।

ਟੈਕਟੀਕਲ ਓਵਰਲੈਪ: ਜ਼ਿਪਲਾਈਨ ਮੁਹਿੰਮ ਦੇ ਲਿੰਕ

ਵਿਸ਼ਲੇਸ਼ਣ PowMix ਅਤੇ ZipLine ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਪਹਿਲਾਂ ਪ੍ਰਗਟ ਕੀਤੀ ਗਈ ਮੁਹਿੰਮ ਵਿਚਕਾਰ ਸਮਾਨਤਾਵਾਂ ਦਾ ਖੁਲਾਸਾ ਕਰਦਾ ਹੈ, ਜਿਸਨੇ ਅਗਸਤ 2025 ਵਿੱਚ ਸਪਲਾਈ ਚੇਨ-ਨਾਜ਼ੁਕ ਨਿਰਮਾਣ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਸੀ। ਸਾਂਝੀਆਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ZIP-ਅਧਾਰਤ ਪੇਲੋਡ ਡਿਲੀਵਰੀ, ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਦੁਆਰਾ ਨਿਰੰਤਰਤਾ, ਅਤੇ C2 ਕਾਰਜਾਂ ਲਈ Heroku ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ।

ਇਹਨਾਂ ਓਵਰਲੈਪਾਂ ਦੇ ਬਾਵਜੂਦ, PowMix ਬੋਟਨੈੱਟ ਤੋਂ ਪਰੇ ਕੋਈ ਵਾਧੂ ਪੇਲੋਡ ਨਹੀਂ ਦੇਖੇ ਗਏ ਹਨ। ਇਹ ਮੁਹਿੰਮ ਦੇ ਅੰਤਮ ਉਦੇਸ਼ਾਂ ਬਾਰੇ ਅਨਿਸ਼ਚਿਤਤਾ ਛੱਡਦਾ ਹੈ, ਜੋ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਭਵਿੱਖ ਵਿੱਚ ਹੋਰ ਵਿਕਾਸ ਜਾਂ ਸੈਕੰਡਰੀ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਉਭਰ ਸਕਦੇ ਹਨ।