Botnet PowMix
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali probíhající škodlivou kampaň zaměřenou na pracovní sílu v České republice nejméně od prosince 2025. V centru této operace je dříve nezdokumentovaný botnet známý jako PowMix. Tato hrozba je navržena tak, aby se vyhnula tradičním detekčním mechanismům tím, že se vyhýbá trvalému připojení k infrastruktuře velení a řízení (C2) a místo toho se spoléhá na náhodné komunikační vzorce.
Obsah
Tajná komunikace: Pokročilé techniky úniku C2
PowMix využívá sofistikované metody, aby zůstal v síťovém prostředí nedetekovatelný. Místo udržování nepřetržitého kontaktu se svými C2 servery používá náhodné intervaly signalizace generované pomocí příkazů PowerShellu. Tyto intervaly se zpočátku pohybují od 0 do 261 sekund a později se prodlužují na 1 075 až 1 450 sekund, čímž efektivně narušují předvídatelné vzorce provozu.
Botnet navíc vkládá šifrovaná data o prezenčním signálu a jedinečné identifikátory obětí přímo do cest URL adres C2, čímž napodobuje legitimní provoz REST API. Díky tomuto designu se malware bezproblémově začlení do běžné síťové komunikace. Botnet je také schopen dynamicky aktualizovat svou doménu C2 prostřednictvím konfiguračního souboru, čímž zajišťuje kontinuitu provozu i v případě změn infrastruktury.
Řetězec infekce: Vícestupňová strategie nasazení
Útok začíná škodlivým ZIP archivem, který se obvykle šíří prostřednictvím phishingových e-mailů. Po otevření archivu se spustí pečlivě naplánovaný, vícestupňový proces infekce:
- Soubor zástupce systému Windows (LNK) zahájí spuštění
- Zavaděč PowerShellu extrahuje a dešifruje vložený datový obsah
- Malware se spouští přímo v paměti, čímž se minimalizují artefakty na disku.
Tento přístup k bezsouborovému provádění výrazně snižuje pravděpodobnost detekce konvenčními bezpečnostními nástroji.
Schopnosti a mechanismy perzistence
PowMix je navržen jako všestranný nástroj pro vzdálený přístup, který útočníkům umožňuje provádět průzkum, spouštět libovolný kód a udržovat si dlouhodobou kontrolu nad napadenými systémy. Perzistence je dosažena vytvářením naplánovaných úloh, které zajišťují, že malware zůstane aktivní i po restartu systému.
Aby se zachovala provozní stabilita, malware ověřuje strom procesů, aby zabránil současnému spuštění více instancí na stejném hostiteli.
Rámec pro provádění příkazů: Flexibilní architektura řízení
Botnet podporuje dvě primární kategorie příkazů vydávaných ze serveru C2. Jeho chování je určeno formátem odpovědi serveru:
Příkazy bez předpony '#' spouštějí režim libovolného spuštění, což malware vyzve k dešifrování a spuštění přijatých dat.
Mezi speciální příkazy patří:
#KILL: Zahájí automatické smazání a odstraní všechny stopy škodlivé aktivity.
#HOST: Aktualizuje adresu C2 serveru botnetu pro pokračující komunikaci.
Tato flexibilní struktura příkazů umožňuje operátorům přizpůsobovat chování malwaru v reálném čase.
Vrstva sociálního inženýrství: Návnadné dokumenty jako rozptýlení
Pro zvýšení své účinnosti kampaň využívá taktiky sociálního inženýrství. Obětem jsou předkládány klamné dokumenty s tématy souvisejícími s dodržováním předpisů, které vypadají legitimně. Tyto dokumenty odkazují na známé značky, jako je Edeka, a obsahují podrobnosti o odměňování spolu s odkazy na legitimní legislativní předpisy. Tyto prvky mají za cíl vybudovat důvěru a oklamat cílové skupiny, zejména uchazeče o zaměstnání, aby se zapojily do setkávání se škodlivým obsahem.
Taktický překryv: Odkazy na kampaň ZipLine
Analýza odhaluje podobnosti mezi kampaní PowMix a dříve zveřejněnou kampaní známou jako ZipLine, která se v srpnu 2025 zaměřila na kriticky důležitá výrobní odvětví dodavatelského řetězce. Mezi sdílené taktiky patří doručování dat založené na protokolu ZIP, perzistence prostřednictvím plánovaných úloh a využití infrastruktury Heroku pro operace C2.
Navzdory těmto překrýváním nebyly pozorovány žádné další datové zátěže kromě samotné botnetu PowMix. To ponechává nejistotu ohledně konečných cílů kampaně, což naznačuje, že v budoucnu se může objevit další vývoj nebo datové zátěže sekundární fáze.
