Rabattoffert för flera licenser
Hotdatabas Botnät PowMix Botnät

PowMix Botnät

Med Mezo år Botnät
Översätt till:

Cybersäkerhetsforskare har identifierat en pågående skadlig kampanj som riktar sig mot arbetskraften i Tjeckien sedan åtminstone december 2025. I centrum för denna operation finns ett tidigare odokumenterat botnät som kallas PowMix. Detta hot är konstruerat för att kringgå traditionella detekteringsmekanismer genom att undvika ihållande anslutningar till dess kommando- och kontrollinfrastruktur (C2), och istället förlita sig på slumpmässiga kommunikationsmönster.

Stealth Communication: Avancerade C2-undvikningstekniker

PowMix använder sofistikerade metoder för att förbli oupptäckt i nätverksmiljöer. Istället för att upprätthålla kontinuerlig kontakt med sina C2-servrar använder de slumpmässiga beacon-intervall som genereras via PowerShell-kommandon. Dessa intervall varierar initialt från 0 till 261 sekunder och sträcker sig senare till mellan 1 075 och 1 450 sekunder, vilket effektivt stör förutsägbara trafikmönster.

Dessutom bäddar botnätet in krypterad hjärtslagsdata och unika offeridentifierare direkt i C2-URL-sökvägar, vilket imiterar legitim REST API-trafik. Denna design gör att skadlig programvara kan integreras sömlöst med normal nätverkskommunikation. Botnätet kan också dynamiskt uppdatera sin C2-domän via sin konfigurationsfil, vilket säkerställer driftskontinuitet även om infrastrukturen ändras.

Infektionskedja: Flerstegsstrategi för implementering

Attacken börjar med ett skadligt ZIP-arkiv, vanligtvis distribuerat via nätfiskemejl. När arkivet öppnas utlöser det en noggrant orkestrerad infektionsprocess i flera steg:

  • En Windows-genvägsfil (LNK) initierar körningen
  • En PowerShell-laddare extraherar och dekrypterar den inbäddade nyttolasten
  • Skadlig kod körs direkt i minnet, vilket minimerar diskartefakter

Denna fillösa exekveringsmetod minskar avsevärt sannolikheten för upptäckt av konventionella säkerhetsverktyg.

Förmågor och persistensmekanismer

PowMix är utformat som ett mångsidigt verktyg för fjärråtkomst, vilket gör det möjligt för angripare att utföra rekognoscering, exekvera godtycklig kod och bibehålla långsiktig kontroll över komprometterade system. Persistens uppnås genom att skapa schemalagda uppgifter, vilket säkerställer att skadlig kod förblir aktiv även efter omstart av systemet.

För att upprätthålla driftsstabilitet verifierar skadlig programvara processträdet för att förhindra att flera instanser körs samtidigt på samma värd.

Ramverk för kommandokörning: Flexibel kontrollarkitektur

Botnätet stöder två huvudkategorier av kommandon som utfärdas från C2-servern. Dess beteende bestäms av formatet på serverns svar:

Kommandon utan prefixet '#' utlöser godtyckligt exekveringsläge, vilket uppmanar skadlig kod att dekryptera och exekvera mottagna nyttolaster

Specialkommandon inkluderar:

#KILL: Initierar självradering och tar bort alla spår av skadlig aktivitet

#VÄRD: Uppdaterar botnätets C2-serveradress för fortsatt kommunikation

Denna flexibla kommandostruktur gör det möjligt för operatörer att anpassa skadlig programvaras beteende i realtid.

Social ingenjörskonstlagret: Avledningsdokument som distraktion

För att ytterligare effektivisera kampanjen använder sig av social ingenjörskonst. Offren presenteras med lockbeteendedokument med efterlevnadsrelaterade teman som är utformade för att verka legitima. Dessa dokument refererar till välkända varumärken som Edeka och inkluderar information om ersättning tillsammans med legitima lagstiftningshänvisningar. Sådana element är avsedda att bygga förtroende och lura målgrupper, särskilt arbetssökande, att interagera med det skadliga innehållet.

Taktisk överlappning: Länkar till ZipLine-kampanjen

Analysen avslöjar likheter mellan PowMix och en tidigare avslöjad kampanj känd som ZipLine, som riktade sig mot leveranskedjekritiska tillverkningssektorer i augusti 2025. Gemensamma taktiker inkluderar ZIP-baserad nyttolastleverans, ihållighet via schemalagda uppgifter och användning av Heroku-infrastruktur för C2-operationer.

Trots dessa överlappningar har inga ytterligare nyttolaster utöver själva PowMix-botnätet observerats. Detta skapar osäkerhet kring kampanjens slutgiltiga mål, vilket tyder på att ytterligare utvecklingar eller nyttolaster i sekundärt skede kan uppstå i framtiden.

Trendigt

Mest sedda

Läser in...