PowMix Botnet
Natukoy ng mga mananaliksik sa cybersecurity ang isang patuloy na malisyosong kampanya na tumatarget sa mga manggagawa sa Czech Republic simula pa noong Disyembre 2025. Nasa sentro ng operasyong ito ang isang dating hindi dokumentadong botnet na kilala bilang PowMix. Ang banta na ito ay ginawa upang maiwasan ang mga tradisyonal na mekanismo ng pagtuklas sa pamamagitan ng pag-iwas sa mga patuloy na koneksyon sa imprastraktura ng Command-and-Control (C2) nito, sa halip ay umaasa sa mga randomized na pattern ng komunikasyon.
Talaan ng mga Nilalaman
Komunikasyon sa Lihim: Mga Advanced na Teknik sa Pag-iwas sa C2
Gumagamit ang PowMix ng mga sopistikadong pamamaraan upang manatiling hindi natutukoy sa loob ng mga kapaligiran ng network. Sa halip na mapanatili ang patuloy na pakikipag-ugnayan sa mga C2 server nito, gumagamit ito ng mga randomized beaconing interval na nabuo sa pamamagitan ng mga utos ng PowerShell. Ang mga interval na ito sa simula ay mula 0 hanggang 261 segundo at kalaunan ay umaabot sa pagitan ng 1,075 at 1,450 segundo, na epektibong nakakagambala sa mga nahuhulaang pattern ng trapiko.
Bukod pa rito, direktang inilalagay ng botnet ang naka-encrypt na datos ng tibok ng puso at mga natatanging pagkakakilanlan ng biktima sa mga C2 URL path, na ginagaya ang lehitimong trapiko ng REST API. Ang disenyong ito ay nagbibigay-daan sa malware na tuluy-tuloy na makihalubilo sa mga normal na komunikasyon sa network. Kaya rin ng botnet na dynamic na i-update ang C2 domain nito sa pamamagitan ng configuration file nito, na tinitiyak ang tuluy-tuloy na operasyon kahit na magbago ang imprastraktura.
Kadena ng Impeksyon: Istratehiya sa Pag-deploy nang Maramihang Yugto
Ang pag-atake ay nagsisimula sa isang malisyosong ZIP archive, na karaniwang ipinamamahagi sa pamamagitan ng mga phishing email. Kapag nabuksan na, ang archive ay nagti-trigger ng isang maingat na inayos at maraming yugtong proseso ng impeksyon:
- Sinisimulan ng isang Windows Shortcut (LNK) file ang pagpapatupad
- Kinukuha at idine-decrypt ng isang PowerShell loader ang naka-embed na payload
- Ang malware ay direktang isinasagawa sa memorya, na nagpapaliit sa mga artifact sa disk
Ang pamamaraang ito ng pagpapatupad na walang file ay lubos na nagbabawas sa posibilidad ng pagtuklas ng mga maginoo na tool sa seguridad.
Mga Kakayahan at Mekanismo ng Pagtitiyaga
Ang PowMix ay dinisenyo bilang isang maraming nalalaman na tool sa remote access, na nagbibigay-daan sa mga umaatake na magsagawa ng pagmamanman, magpatupad ng arbitraryong code, at mapanatili ang pangmatagalang kontrol sa mga nakompromisong sistema. Nakakamit ang pagtitiyaga sa pamamagitan ng paglikha ng mga naka-iskedyul na gawain, na tinitiyak na ang malware ay mananatiling aktibo sa lahat ng pag-reboot ng system.
Para mapanatili ang katatagan ng operasyon, bineberipika ng malware ang process tree upang maiwasan ang sabay-sabay na pagtakbo ng maraming instance sa iisang host.
Balangkas ng Pagpapatupad ng Utos: Arkitektura ng Nababaluktot na Kontrol
Sinusuportahan ng botnet ang dalawang pangunahing kategorya ng mga utos na inilalabas mula sa C2 server. Ang kilos nito ay natutukoy ng format ng tugon ng server:
Ang mga utos na walang prefix na '#' ay nagti-trigger ng arbitrary execution mode, na nagtutulak sa malware na i-decrypt at i-execute ang mga natanggap na payload
Kasama sa mga espesyal na utos ang:
#KILL: Sinisimulan ang self-delete at inaalis ang lahat ng bakas ng malisyosong aktibidad
#HOST: Ina-update ang C2 server address ng botnet para sa patuloy na komunikasyon
Ang nababaluktot na istrukturang ito ng utos ay nagbibigay-daan sa mga operator na iakma ang pag-uugali ng malware sa real time.
Layer ng Social Engineering: Mga Dokumento ng Decoy bilang Pang-abala
Para lalong maging epektibo ang kampanya, isinasama ang mga taktika ng social engineering. Ang mga biktima ay binibigyan ng mga dokumentong decoy na nagtatampok ng mga temang may kaugnayan sa pagsunod na idinisenyo upang magmukhang lehitimo. Ang mga dokumentong ito ay tumutukoy sa mga kilalang brand tulad ng Edeka at may kasamang mga detalye ng kabayaran kasama ang mga lehitimong sanggunian sa batas. Ang mga naturang elemento ay inilaan upang bumuo ng tiwala at linlangin ang mga target, lalo na ang mga naghahanap ng trabaho, upang makisali sa malisyosong nilalaman.
Taktikal na Pagsasanib: Mga Link sa Kampanya ng ZipLine
Isiniwalat ng pagsusuri ang mga pagkakatulad sa pagitan ng PowMix at ng isang dating isiniwalat na kampanya na kilala bilang ZipLine, na tumatarget sa mga sektor ng pagmamanupaktura na kritikal sa supply chain noong Agosto 2025. Kabilang sa mga ibinahaging taktika ang paghahatid ng payload na nakabatay sa ZIP, pagtitiyaga sa pamamagitan ng mga naka-iskedyul na gawain, at ang paggamit ng imprastraktura ng Heroku para sa mga operasyon ng C2.
Sa kabila ng mga pagsasanib na ito, walang karagdagang mga payload na naobserbahan bukod sa mismong PowMix botnet. Nag-iiwan ito ng kawalan ng katiyakan tungkol sa mga pangunahing layunin ng kampanya, na nagmumungkahi na maaaring lumitaw ang mga karagdagang pag-unlad o mga payload sa pangalawang yugto sa hinaharap.
