Botnet PowMix
Badacze ds. cyberbezpieczeństwa zidentyfikowali trwającą złośliwą kampanię wymierzoną w pracowników w Czechach, trwającą co najmniej od grudnia 2025 roku. W centrum tej operacji znajduje się wcześniej nieudokumentowany botnet znany jako PowMix. Zagrożenie to zostało zaprojektowane tak, aby omijać tradycyjne mechanizmy wykrywania poprzez unikanie trwałych połączeń z infrastrukturą dowodzenia i kontroli (C2), a zamiast tego opiera się na losowych wzorcach komunikacji.
Spis treści
Komunikacja ukryta: zaawansowane techniki unikania C2
PowMix wykorzystuje zaawansowane metody, aby pozostać niewykrytym w środowiskach sieciowych. Zamiast utrzymywać ciągły kontakt z serwerami C2, używa losowych interwałów sygnalizacji generowanych za pomocą poleceń programu PowerShell. Interwały te początkowo wahają się od 0 do 261 sekund, a później wydłużają się do 1075–1450 sekund, skutecznie zakłócając przewidywalne wzorce ruchu.
Dodatkowo, botnet osadza zaszyfrowane dane heartbeat i unikalne identyfikatory ofiar bezpośrednio w ścieżkach URL C2, imitując legalny ruch REST API. Taka konstrukcja pozwala złośliwemu oprogramowaniu płynnie integrować się z normalną komunikacją sieciową. Botnet jest również w stanie dynamicznie aktualizować swoją domenę C2 za pomocą pliku konfiguracyjnego, zapewniając ciągłość działania nawet w przypadku zmian w infrastrukturze.
Łańcuch infekcji: strategia wdrażania wieloetapowego
Atak rozpoczyna się od złośliwego archiwum ZIP, zazwyczaj rozsyłanego za pośrednictwem wiadomości phishingowych. Po otwarciu archiwum uruchamia starannie zaplanowany, wieloetapowy proces infekcji:
- Plik skrótu systemu Windows (LNK) inicjuje wykonywanie
- Ładowarka programu PowerShell wyodrębnia i odszyfrowuje osadzony ładunek
- Szkodliwe oprogramowanie jest uruchamiane bezpośrednio w pamięci, co minimalizuje powstawanie artefaktów na dysku
To podejście polegające na wykonywaniu kodu bez użycia plików znacznie zmniejsza prawdopodobieństwo wykrycia przez konwencjonalne narzędzia bezpieczeństwa.
Możliwości i mechanizmy trwałości
PowMix został zaprojektowany jako wszechstronne narzędzie do zdalnego dostępu, umożliwiające atakującym przeprowadzenie rekonesansu, wykonanie dowolnego kodu i utrzymanie długoterminowej kontroli nad zainfekowanymi systemami. Trwałość jest osiągana poprzez tworzenie zaplanowanych zadań, które zapewniają, że złośliwe oprogramowanie pozostaje aktywne nawet po ponownym uruchomieniu systemu.
Aby zachować stabilność operacyjną, złośliwe oprogramowanie weryfikuje drzewo procesów, aby zapobiec jednoczesnemu uruchamianiu wielu instancji na tym samym hoście.
Struktura wykonywania poleceń: elastyczna architektura sterowania
Botnet obsługuje dwie podstawowe kategorie poleceń wydawanych z serwera C2. Jego zachowanie zależy od formatu odpowiedzi serwera:
Polecenia bez prefiksu „#” uruchamiają dowolny tryb wykonywania, co powoduje, że złośliwe oprogramowanie odszyfrowuje i wykonuje otrzymane ładunki
Polecenia specjalne obejmują:
#KILL: Inicjuje samoczynne usuwanie i usuwa wszystkie ślady złośliwej aktywności
#HOST: Aktualizuje adres serwera C2 botnetu w celu umożliwienia dalszej komunikacji
Ta elastyczna struktura poleceń pozwala operatorom dostosowywać zachowanie złośliwego oprogramowania w czasie rzeczywistym.
Warstwa inżynierii społecznej: Dokumenty-wabiki jako sposób na odwrócenie uwagi
Aby zwiększyć skuteczność, kampania wykorzystuje taktykę socjotechniczną. Ofiarom przedstawiane są fałszywe dokumenty z motywami związanymi z przestrzeganiem przepisów, które mają sprawiać wrażenie legalnych. Dokumenty te odnoszą się do znanych marek, takich jak Edeka, i zawierają szczegóły dotyczące wynagrodzeń oraz legalne odniesienia do przepisów. Takie elementy mają na celu zbudowanie zaufania i nakłonienie potencjalnych ofiar, zwłaszcza osób poszukujących pracy, do zapoznania się ze złośliwymi treściami.
Nakładanie się taktyki: linki do kampanii ZipLine
Analiza ujawnia podobieństwa między kampanią PowMix a wcześniej ujawnioną kampanią ZipLine, która w sierpniu 2025 r. była skierowana przeciwko sektorom produkcyjnym o kluczowym znaczeniu dla łańcucha dostaw. Wspólne taktyki obejmują dostarczanie ładunków w oparciu o kod pocztowy ZIP, trwałość za pośrednictwem zaplanowanych zadań oraz wykorzystanie infrastruktury Heroku do operacji C2.
Pomimo tych nakładek, nie zaobserwowano żadnych dodatkowych ładunków poza samym botnetem PowMix. To pozostawia niepewność co do ostatecznych celów kampanii, sugerując, że w przyszłości mogą pojawić się dalsze działania lub ładunki drugorzędne.
