PowMix僵尸网络

通过Mezo在僵尸网络

翻译为：

网络安全研究人员发现，自2025年12月以来，捷克共和国的劳动力一直遭受恶意攻击。此次攻击的核心是一个名为PowMix的此前未被记录的僵尸网络。该威胁通过避免与命令与控制（C2）基础设施建立持续连接，而是依赖随机通信模式，来规避传统的检测机制。

PowMix 利用复杂的技术手段在网络环境中保持隐蔽。它并非与 C2 服务器保持持续连接，而是使用 PowerShell 命令生成的随机信标间隔。这些间隔最初在 0 到 261 秒之间，之后会延长至 1075 到 1450 秒，从而有效地扰乱可预测的网络流量模式。

此外，该僵尸网络会将加密的心跳数据和唯一的受害者标识符直接嵌入到C2服务器的URL路径中，从而模拟合法的REST API流量。这种设计使得恶意软件能够与正常的网络通信无缝融合。该僵尸网络还能通过其配置文件动态更新C2服务器域名，即使基础设施发生变化，也能确保运行的连续性。

攻击始于恶意 ZIP 压缩文件，通常通过钓鱼邮件传播。一旦打开，该压缩文件就会触发精心策划的多阶段感染过程：

这种无文件执行方式显著降低了被传统安全工具检测到的可能性。

PowMix 是一款功能强大的远程访问工具，攻击者可以利用它进行侦察、执行任意代码，并对受感染的系统保持长期控制。它通过创建定时任务来实现持久性，确保恶意软件在系统重启后仍然保持活跃状态。

为了保持运行稳定性，该恶意软件会验证进程树，以防止多个实例在同一主机上同时运行。

该僵尸网络支持从C2服务器发出的两类主要命令。其行为取决于服务器响应的格式：

不带“#”前缀的命令会触发任意执行模式，促使恶意软件解密并执行接收到的有效载荷。

特殊指令包括：

#KILL：启动自我删除并清除所有恶意活动痕迹

#HOST：更新僵尸网络的 C2 服务器地址，以便继续通信。

这种灵活的命令结构允许操作人员实时调整恶意软件的行为。

为了进一步提高其效果，该活动采用了社会工程学策略。受害者会收到一些看似合法的、以合规为主题的诱饵文件。这些文件会提及诸如 Edeka 等知名品牌，并包含赔偿详情以及合法的法律条文。这些手段旨在建立信任，诱使目标对象（尤其是求职者）点击恶意内容。

分析显示，PowMix 与之前披露的名为 ZipLine 的攻击活动有相似之处，后者于 2025 年 8 月针对供应链关键型制造业展开攻击。共同的策略包括基于 ZIP 的有效载荷交付、通过计划任务实现持久性以及使用 Heroku 基础设施进行 C2 操作。

尽管存在这些重叠，但除 PowMix 僵尸网络本身之外，尚未发现其他有效载荷。这使得该攻击活动的最终目标仍存在不确定性，表明未来可能会出现进一步的行动或二级有效载荷。

搜索