Los investigadores de ciberseguridad han advertido que una botnet previamente indocumentada llamada PowMix ha estado activa en una campaña maliciosa dirigida a los trabajadores en la República Checa desde al menos diciembre de 2025.
«PowMix emplea intervalos de balizas de comando y control (C2) aleatorios en lugar de conexiones persistentes a servidores C2 para evadir la detección de firmas de red», dijo Chetan Raghuprasad, investigador de Cisco Talos, en un informe publicado hoy.
«PowMix incorpora datos de latidos cifrados y un identificador único para la máquina víctima en la ruta URL C2 para imitar una URL API REST legítima. PowMix tiene la capacidad de actualizar dinámicamente nuevos dominios C2 a archivos de configuración de botnet de forma remota».
La cadena de ataque comienza con un archivo ZIP malicioso, probablemente entregado a través de un correo electrónico de phishing, que activa una cadena de infección de varios pasos que elimina PowMix. Específicamente, se trata de un acceso directo de Windows (LNK) que se utiliza para iniciar un cargador de PowerShell que extrae el malware incrustado en un archivo, lo descifra y lo ejecuta en la memoria.
La botnet nunca antes vista está diseñada para facilitar el acceso remoto, el reconocimiento y la ejecución remota de código mientras establece persistencia a través de tareas programadas. Al mismo tiempo, verifique el árbol de procesos para asegurarse de que no se estén ejecutando otras instancias del mismo malware en el host comprometido.
La lógica de gestión remota de PowMix le permite procesar dos tipos de comandos enviados desde el servidor C2. # Si una respuesta no tiene prefijo, PowMix ingresa a un modo de ejecución arbitrario, descifra y ejecuta la carga útil recuperada.
#KILL, inicia una rutina de autoeliminación y borra todo rastro de artefactos maliciosos. #HOST, habilita la migración de C2 a la nueva URL del servidor.
Al mismo tiempo, también abre un documento señuelo con temática de cumplimiento como mecanismo de distracción. El documento señuelo hace referencia a marcas legítimas como Edeka e incluye datos de compensación y referencias a leyes válidas, potencialmente destinadas a aumentar la credibilidad de la marca y engañar a los destinatarios, como los solicitantes de empleo.
Talos dijo que esta campaña tiene cierta superposición táctica con una campaña llamada ZipLine que Check Point reveló a fines de agosto de 2025 y que tenía como objetivo empresas de fabricación críticas para la cadena de suministro que utilizaban malware en memoria llamado MixShell.
Esto incluye el uso de la misma entrega de carga útil basada en ZIP, la persistencia de tareas programadas y la explotación de Heroku para C2. Sin embargo, no se ha observado ninguna carga útil final más allá del malware botnet, lo que deja sin respuesta preguntas sobre sus motivaciones exactas.
«PowMix evita conexiones persistentes a servidores C2», dice Talos. «En su lugar, implementamos jitter a través del comando Get-Random PowerShell y cambiamos el intervalo de baliza inicialmente entre 0 y 261 segundos y luego entre 1.075 y 1.450 segundos. Esta técnica intenta evitar la detección de tráfico C2 a través de firmas de red predecibles».
Esta divulgación se produce cuando Bitsight descubre una cadena de infección asociada con la botnet RondoDox, destacando la capacidad en evolución del malware para extraer criptomonedas ilegalmente en sistemas infectados utilizando XMRig, además de sus capacidades de ataque de denegación de servicio distribuido (DDoS) existentes.
Los hallazgos revelan una imagen completa del malware mantenido activamente que ofrece evasión mejorada, mayor resiliencia, eliminación proactiva de conflictos y un conjunto ampliado de funciones.
RondoDox puede explotar más de 170 vulnerabilidades conocidas en varias aplicaciones conectadas a Internet para obtener acceso inicial, eliminar scripts de shell que realizan un antianálisis básico y eliminar malware de la competencia, y luego eliminar binarios de botnet apropiados para la arquitectura.
El investigador principal de Bitsight, João Godinho, dijo que el malware «implementa técnicas para frustrar el análisis a través de múltiples controles, incluido el uso de nanomitas, renombrar y eliminar archivos, eliminar procesos y verificar agresivamente los depuradores en ejecución».
«Los bots pueden realizar ataques DoS en las capas de Internet, transporte y aplicaciones dependiendo de los comandos y argumentos emitidos por el C2».
Source link
