بات‌نت PowMix

محققان امنیت سایبری یک کمپین مخرب مداوم را شناسایی کرده‌اند که حداقل از دسامبر ۲۰۲۵ نیروی کار در جمهوری چک را هدف قرار داده است. در مرکز این عملیات، یک بات‌نت که قبلاً مستند نشده بود و با نام PowMix شناخته می‌شود، قرار دارد. این تهدید به گونه‌ای مهندسی شده است که با اجتناب از اتصالات مداوم به زیرساخت فرماندهی و کنترل (C2) خود، از مکانیسم‌های تشخیص سنتی فرار کند و در عوض به الگوهای ارتباطی تصادفی متکی باشد.

ارتباطات پنهانی: تکنیک‌های پیشرفته‌ی گریز از فرماندهی و کنترل

PowMix از روش‌های پیچیده‌ای برای پنهان ماندن در محیط‌های شبکه استفاده می‌کند. به جای حفظ ارتباط مداوم با سرورهای C2 خود، از فواصل زمانی تصادفی beaconing که از طریق دستورات PowerShell تولید می‌شوند، استفاده می‌کند. این فواصل زمانی در ابتدا از 0 تا 261 ثانیه متغیر هستند و بعداً به بین 1075 تا 1450 ثانیه افزایش می‌یابند و عملاً الگوهای ترافیکی قابل پیش‌بینی را مختل می‌کنند.

علاوه بر این، این بات‌نت داده‌های رمزگذاری‌شده ضربان قلب و شناسه‌های منحصر به فرد قربانی را مستقیماً در مسیرهای URL C2 جاسازی می‌کند و ترافیک مشروع REST API را تقلید می‌کند. این طراحی به بدافزار امکان می‌دهد تا به طور یکپارچه با ارتباطات شبکه عادی ترکیب شود. این بات‌نت همچنین قادر است دامنه C2 خود را از طریق فایل پیکربندی خود به صورت پویا به‌روزرسانی کند و تداوم عملیاتی را حتی در صورت تغییر زیرساخت‌ها تضمین کند.

زنجیره آلودگی: استراتژی استقرار چند مرحله‌ای

این حمله با یک فایل فشرده‌ی مخرب آغاز می‌شود که معمولاً از طریق ایمیل‌های فیشینگ توزیع می‌شود. پس از باز شدن، این فایل یک فرآیند آلودگی چند مرحله‌ای و با دقت برنامه‌ریزی شده را آغاز می‌کند:

• یک فایل میانبر ویندوز (LNK) اجرا را آغاز می‌کند
• یک بارگذار PowerShell، فایل مخرب جاسازی‌شده را استخراج و رمزگشایی می‌کند.
• این بدافزار مستقیماً در حافظه اجرا می‌شود و مصنوعات دیسک را به حداقل می‌رساند.

این رویکرد اجرای بدون فایل، احتمال شناسایی توسط ابزارهای امنیتی مرسوم را به میزان قابل توجهی کاهش می‌دهد.

قابلیت‌ها و مکانیسم‌های پایداری

PowMix به عنوان یک ابزار دسترسی از راه دور همه‌کاره طراحی شده است که مهاجمان را قادر می‌سازد تا عملیات شناسایی را انجام دهند، کد دلخواه را اجرا کنند و کنترل بلندمدتی بر سیستم‌های آسیب‌دیده داشته باشند. ماندگاری از طریق ایجاد وظایف زمان‌بندی‌شده حاصل می‌شود و تضمین می‌کند که بدافزار در طول راه‌اندازی مجدد سیستم فعال باقی بماند.

برای حفظ پایداری عملیاتی، این بدافزار درخت فرآیند را تأیید می‌کند تا از اجرای همزمان چندین نمونه روی یک میزبان جلوگیری کند.

چارچوب اجرای فرمان: معماری کنترل انعطاف‌پذیر

این بات‌نت از دو دسته اصلی از دستورات صادر شده از سرور C2 پشتیبانی می‌کند. رفتار آن توسط قالب پاسخ سرور تعیین می‌شود:

دستورات بدون پیشوند '#' حالت اجرای دلخواه را فعال می‌کنند و بدافزار را وادار به رمزگشایی و اجرای پیلودهای دریافتی می‌کنند.

دستورات ویژه شامل موارد زیر است:

#KILL: حذف خودکار را آغاز می‌کند و تمام آثار فعالیت‌های مخرب را حذف می‌کند.

#میزبان: آدرس سرور C2 بات‌نت را برای ادامه ارتباط به‌روزرسانی می‌کند.

این ساختار فرمان انعطاف‌پذیر به اپراتورها اجازه می‌دهد تا رفتار بدافزار را در لحظه (بلادرنگ) تطبیق دهند.

لایه مهندسی اجتماعی: اسناد فریبنده به عنوان حواس‌پرتی

برای افزایش اثربخشی، این کمپین از تاکتیک‌های مهندسی اجتماعی استفاده می‌کند. به قربانیان اسناد جعلی با مضامین مرتبط با انطباق ارائه می‌شود که طوری طراحی شده‌اند که قانونی به نظر برسند. این اسناد به برندهای شناخته‌شده‌ای مانند Edeka اشاره دارند و شامل جزئیات جبران خسارت در کنار ارجاعات قانونی قانونی هستند. چنین عناصری برای ایجاد اعتماد و فریب اهداف، به‌ویژه جویندگان کار، برای درگیر شدن با محتوای مخرب در نظر گرفته شده‌اند.

همپوشانی تاکتیکی: پیوندهایی به کمپین زیپ‌لاین

تجزیه و تحلیل‌ها شباهت‌هایی را بین PowMix و یک کمپین افشا شده قبلی به نام ZipLine نشان می‌دهد که بخش‌های تولیدی حیاتی زنجیره تأمین را در آگوست 2025 هدف قرار داده بود. تاکتیک‌های مشترک شامل تحویل بار مبتنی بر ZIP، پایداری از طریق وظایف برنامه‌ریزی شده و استفاده از زیرساخت Heroku برای عملیات C2 است.

با وجود این همپوشانی‌ها، هیچ محموله‌ی اضافی فراتر از خود بات‌نت PowMix مشاهده نشده است. این موضوع باعث عدم قطعیت در مورد اهداف نهایی این کمپین می‌شود و نشان می‌دهد که ممکن است در آینده تحولات بیشتر یا محموله‌های مرحله‌ی ثانویه پدیدار شوند.