Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Botnet PowMix

Botnet PowMix

Por Mezo en Redes de bots
Traducir a:

Investigadores de ciberseguridad han identificado una campaña maliciosa activa contra la fuerza laboral en la República Checa desde al menos diciembre de 2025. En el centro de esta operación se encuentra una botnet hasta ahora desconocida, conocida como PowMix. Esta amenaza está diseñada para eludir los mecanismos de detección tradicionales evitando las conexiones persistentes con su infraestructura de comando y control (C2), y en su lugar, recurriendo a patrones de comunicación aleatorios.

Comunicación sigilosa: Técnicas avanzadas de evasión de mando y control

PowMix emplea métodos sofisticados para pasar desapercibido en entornos de red. En lugar de mantener un contacto continuo con sus servidores C2, utiliza intervalos de balizamiento aleatorios generados mediante comandos de PowerShell. Estos intervalos oscilan inicialmente entre 0 y 261 segundos y posteriormente se extienden hasta entre 1075 y 1450 segundos, interrumpiendo eficazmente los patrones de tráfico predecibles.

Además, la botnet inserta datos de latido cifrados e identificadores únicos de las víctimas directamente en las rutas URL del servidor C2, imitando el tráfico legítimo de la API REST. Este diseño permite que el malware se integre perfectamente con las comunicaciones de red normales. La botnet también es capaz de actualizar dinámicamente su dominio C2 a través de su archivo de configuración, lo que garantiza la continuidad operativa incluso si la infraestructura cambia.

Cadena de infección: Estrategia de despliegue en múltiples etapas

El ataque comienza con un archivo ZIP malicioso, que normalmente se distribuye a través de correos electrónicos de phishing. Una vez abierto, el archivo desencadena un proceso de infección multietapa cuidadosamente orquestado:

  • Un archivo de acceso directo de Windows (LNK) inicia la ejecución.
  • Un cargador de PowerShell extrae y descifra la carga útil incrustada.
  • El malware se ejecuta directamente en la memoria, minimizando así los artefactos en el disco.

Este método de ejecución sin archivos reduce significativamente la probabilidad de detección por parte de las herramientas de seguridad convencionales.

Capacidades y mecanismos de persistencia

PowMix está diseñado como una herramienta versátil de acceso remoto que permite a los atacantes realizar reconocimiento, ejecutar código arbitrario y mantener el control a largo plazo sobre los sistemas comprometidos. La persistencia se logra mediante la creación de tareas programadas, lo que garantiza que el malware permanezca activo incluso después de reiniciar el sistema.

Para mantener la estabilidad operativa, el malware verifica el árbol de procesos para evitar que se ejecuten varias instancias simultáneamente en el mismo host.

Marco de ejecución de comandos: arquitectura de control flexible

La botnet admite dos categorías principales de comandos emitidos desde el servidor C2. Su comportamiento está determinado por el formato de la respuesta del servidor:

Los comandos sin el prefijo '#' activan el modo de ejecución arbitraria, lo que provoca que el malware descifre y ejecute las cargas útiles recibidas.

Los comandos especiales incluyen:

#KILL: Inicia la autoeliminación y borra todo rastro de actividad maliciosa.

#HOST: Actualiza la dirección del servidor C2 de la botnet para continuar la comunicación.

Esta estructura de comandos flexible permite a los operadores adaptar el comportamiento del malware en tiempo real.

Capa de ingeniería social: documentos señuelo como distracción

Para aumentar su efectividad, la campaña incorpora tácticas de ingeniería social. A las víctimas se les presentan documentos falsos con temática de cumplimiento normativo, diseñados para parecer legítimos. Estos documentos hacen referencia a marcas conocidas como Edeka e incluyen detalles sobre compensaciones junto con referencias legislativas legítimas. Estos elementos tienen como objetivo generar confianza y engañar a los objetivos, especialmente a quienes buscan empleo, para que interactúen con el contenido malicioso.

Superposición táctica: vínculos con la campaña ZipLine

Los análisis revelan similitudes entre PowMix y una campaña previamente descubierta conocida como ZipLine, que tuvo como objetivo sectores de fabricación críticos para la cadena de suministro en agosto de 2025. Las tácticas compartidas incluyen la entrega de carga útil basada en ZIP, la persistencia mediante tareas programadas y el uso de la infraestructura de Heroku para operaciones de comando y control (C2).

A pesar de estas coincidencias, no se han detectado cargas útiles adicionales más allá de la propia botnet PowMix. Esto genera incertidumbre respecto a los objetivos finales de la campaña, lo que sugiere que podrían surgir nuevos desarrollos o cargas útiles de segunda fase en el futuro.

Tendencias

Mas Visto

Cargando...