Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Botnets PowMix Botnet

PowMix Botnet

Tegen Mezo in Botnets
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een aanhoudende kwaadaardige campagne ontdekt die zich sinds ten minste december 2025 richt op de beroepsbevolking in Tsjechië. Centraal in deze operatie staat een voorheen onbekend botnet genaamd PowMix. Deze dreiging is ontworpen om traditionele detectiemechanismen te omzeilen door permanente verbindingen met de command-and-control (C2)-infrastructuur te vermijden en in plaats daarvan gebruik te maken van willekeurige communicatiepatronen.

Stealthcommunicatie: Geavanceerde C2-ontwijktechnieken

PowMix maakt gebruik van geavanceerde methoden om onopgemerkt te blijven in netwerkomgevingen. In plaats van continu contact te onderhouden met zijn C2-servers, gebruikt het willekeurige beaconing-intervallen die worden gegenereerd via PowerShell-opdrachten. Deze intervallen variëren aanvankelijk van 0 tot 261 seconden en worden later verlengd tot tussen de 1075 en 1450 seconden, waardoor voorspelbare verkeerspatronen effectief worden verstoord.

Bovendien integreert het botnet versleutelde heartbeat-gegevens en unieke slachtoffer-ID's rechtstreeks in de C2-URL-paden, waardoor legitiem REST API-verkeer wordt nagebootst. Dit ontwerp zorgt ervoor dat de malware naadloos opgaat in normale netwerkcommunicatie. Het botnet is tevens in staat om zijn C2-domein dynamisch bij te werken via het configuratiebestand, waardoor operationele continuïteit wordt gewaarborgd, zelfs bij wijzigingen in de infrastructuur.

Infectieketen: implementatiestrategie in meerdere fasen

De aanval begint met een kwaadaardig ZIP-archief, dat doorgaans via phishing-e-mails wordt verspreid. Zodra het archief wordt geopend, wordt een zorgvuldig georkestreerd infectieproces in meerdere stappen in gang gezet:

  • Een Windows-snelkoppeling (LNK)-bestand start de uitvoering.
  • Een PowerShell-loader extraheert en decodeert de ingebedde payload.
  • De malware wordt direct in het geheugen uitgevoerd, waardoor de hoeveelheid schijfactiviteit tot een minimum wordt beperkt.

Deze methode voor het uitvoeren van code zonder bestanden verkleint de kans op detectie door conventionele beveiligingssystemen aanzienlijk.

Mogelijkheden en persistentiemechanismen

PowMix is ontworpen als een veelzijdig hulpmiddel voor toegang op afstand, waarmee aanvallers verkenningsmissies kunnen uitvoeren, willekeurige code kunnen uitvoeren en langdurige controle over gecompromitteerde systemen kunnen behouden. De persistentie wordt bereikt door het aanmaken van geplande taken, waardoor de malware actief blijft, zelfs na het herstarten van het systeem.

Om de operationele stabiliteit te waarborgen, controleert de malware de processtructuur om te voorkomen dat meerdere instanties tegelijkertijd op dezelfde host draaien.

Framework voor het uitvoeren van opdrachten: Flexibele besturingsarchitectuur

Het botnet ondersteunt twee primaire categorieën commando's die vanaf de C2-server worden verzonden. Het gedrag ervan wordt bepaald door de vorm van het antwoord van de server:

Commando's zonder een '#' voorvoegsel activeren de willekeurige uitvoeringsmodus, waardoor de malware de ontvangen payloads decodeert en uitvoert.

Tot de speciale commando's behoren:

#KILL: Start zelfverwijdering en verwijdert alle sporen van kwaadaardige activiteit.

#HOST: Werkt het C2-serveradres van het botnet bij voor continue communicatie

Deze flexibele commandostructuur stelt beheerders in staat het gedrag van de malware in realtime aan te passen.

Sociale manipulatie: afleidingsmanoeuvres met valse documenten

Om de effectiviteit te vergroten, maakt de campagne gebruik van social engineering-tactieken. Slachtoffers krijgen misleidende documenten te zien met thema's die te maken hebben met naleving van wet- en regelgeving, maar die legitiem lijken. Deze documenten verwijzen naar bekende merken zoals Edeka en bevatten informatie over vergoedingen, naast legitieme verwijzingen naar wetgeving. Dergelijke elementen zijn bedoeld om vertrouwen te wekken en de doelgroep, met name werkzoekenden, te verleiden tot het openen van de frauduleuze documenten.

Tactische overlapping: Links naar de ZipLine-campagne

Uit analyse blijkt dat PowMix overeenkomsten vertoont met een eerder onthulde campagne genaamd ZipLine, die zich in augustus 2025 richtte op productiesectoren die cruciaal zijn voor de toeleveringsketen. Gedeelde tactieken zijn onder andere ZIP-gebaseerde payload-levering, persistentie via geplande taken en het gebruik van Heroku-infrastructuur voor C2-operaties.

Ondanks deze overlappingen zijn er geen andere payloads waargenomen dan die van het PowMix-botnet zelf. Dit laat onduidelijkheid bestaan over de uiteindelijke doelstellingen van de campagne en suggereert dat er in de toekomst mogelijk verdere ontwikkelingen of payloads in een tweede fase zullen opduiken.

Trending

Meest bekeken

Bezig met laden...