Seit Ende 2025 beobachten Sicherheitsforscher in Tschechien eine gezielte Kampagne mit einem bislang unbekannten Botnet namens PowMix, das vor allem Mitarbeiter von Unternehmen und Bewerber adressiert. Analysen von Cisco Talos zeigen, dass die Betreiber fortschrittliche Techniken zur Verschleierung von Netzwerkverkehr und zur Ausführung von Schadcode ausschließlich im Arbeitsspeicher einsetzen. Parallel beschreibt die Plattform Bitsight mit RondoDox ein weiteres Botnet, das massive DDoS-Angriffe und Kryptomining kombiniert und weltweit internet-exponierte Systeme angreift.
Infektionskette von PowMix: Phishing, ZIP-Archive, LNK-Verknüpfungen und PowerShell
Die PowMix-Kampagne beginnt typischerweise mit Phishing-E-Mails, die wie legitime Geschäftskorrespondenz wirken. Im Anhang befindet sich ein ZIP-Archiv, das eine vermeintliche Dokumentdatei enthält. Tatsächlich handelt es sich um eine Windows-LNK-Verknüpfung, die beim Anklicken einen PowerShell-Befehl startet. Dieser PowerShell-Loader extrahiert den versteckten Schadcode aus dem Archiv, entschlüsselt ihn und führt ihn direkt im RAM aus. Da keine klassische ausführbare Datei auf der Festplatte abgelegt wird, haben signaturbasierte Antivirus-Lösungen und viele EDR-Produkte deutlich weniger Anhaltspunkte für eine Erkennung.
Funktionen von PowMix: Remote-Steuerung, Persistenz und Prozesskontrolle
PowMix ist als Remote-Access-Botnet konzipiert. Nach erfolgreicher Infektion kann der Angreifer Systeminformationen sammeln, im internen Netzwerk sondieren und beliebigen Code nachladen und ausführen. Zur Persistenz legt die Malware eine geplante Aufgabe (Scheduled Task) an, die für einen automatischen Neustart der Schadsoftware sorgt. Vor jeder Aktivierung prüft PowMix den laufenden Prozessbaum, um zu verhindern, dass mehrere Instanzen gleichzeitig auf demselben Host arbeiten. Dies reduziert Systemlast und verringert auffällige Anomalien im Monitoring.
Getarnte C2-Kommunikation: Zufälliges Beaconing und REST-ähnliche HTTP-Anfragen
Eine zentrale Stärke von PowMix liegt in der unauffälligen Kommunikation mit der Command-and-Control-Infrastruktur (C2). Statt einer dauerhaften Verbindung sendet der Bot periodische Beacons, deren Intervalle per PowerShell-Funktion Get-Random zufällig variiert werden. Anfangs liegen die Pausen im Bereich von 0–261 Sekunden, später steigen sie auf etwa 1 075–1 450 Sekunden. Diese künstliche „Jitter“-Verteilung erschwert die Erstellung zuverlässiger Netzwerk-Signaturen erheblich.
Zusätzlich kodiert PowMix verschlüsselte Heartbeat-Daten und eindeutige Systemkennungen direkt im URL-Pfad und imitiert so Aufrufe legitimer REST-APIs. Für viele Proxys und IDS/IPS-Systeme wirkt der Verkehr wie reguläre HTTP-Anfragen an Webservices. Auffällig ist außerdem die missbräuchliche Nutzung von Plattformen wie Heroku als C2-Infrastruktur, was bereits bei der von Check Point beschriebenen Kampagne ZipLine mit der Malware MixShell beobachtet wurde. Der Rückgriff auf etablierte Cloud-Dienste erschwert Blocklisten und IP-basierte Filteransätze deutlich.
Social Engineering mit Compliance-Dokumenten und Markenbezug
Parallel zum Schadcode öffnet PowMix ein Köderdokument, das Themen wie Compliance, Entschädigungen oder arbeitsrechtliche Regelungen adressiert. Häufig werden bekannte Marken – etwa aus dem Einzelhandel wie Edeka – sowie echte Verweise auf Arbeitsrecht und Vergütung verwendet. Damit trifft die Kampagne besonders HR-, Finanz- und Bewerbungsprozesse, in denen der Umgang mit vertraulichen Dokumenten alltäglich ist. Branchenreports wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass ein Großteil zielgerichteter Angriffe mit Social Engineering und E-Mail-Phishing beginnt – die PowMix-Kampagne fügt sich nahtlos in dieses Muster ein.
RondoDox: Botnet für DDoS und Kryptomining mit großer Exploit-Basis
Im Gegensatz zu PowMix, das klar auf zielgerichtete Unternehmensangriffe ausgerichtet ist, fokussiert sich RondoDox auf den massiven Missbrauch internet-exponierter Systeme. Bitsight beobachtet, dass der Bot mehr als 170 bekannte Schwachstellen in Webanwendungen und -diensten ausnutzen kann, um initialen Zugriff zu erlangen. Nach erfolgreicher Ausnutzung lädt der Angreifer ein Shell-Skript, das einfache Anti-Analyse-Prüfungen durchführt, konkurrierende Malware entfernt und anschließend einen zur Zielarchitektur passenden Botnet-Binary nachlädt.
Anti-Analyse-Techniken und mehrschichtige DDoS-Fähigkeiten
RondoDox setzt ein breites Spektrum an Anti-Analyse-Mechanismen ein, darunter Techniken wie Nanomites, gezieltes Löschen oder Umbenennen von Dateien, das Beenden bestimmter Prozesse und die aktive Suche nach laufenden Debuggern. Diese Maßnahmen erschweren Reverse Engineering und dynamische Analyse, erhöhen die Lebensdauer der Infektion und damit das Ertragspotenzial. Nach der Etablierung können die C2-Server DoS- und DDoS-Angriffe auf Netzwerk-, Transport- und Anwendungsebene anweisen und parallel den Kryptominer XMRig starten, um unbemerkt Kryptowährungen zu schürfen.
Konsequenzen für Unternehmen: Abwehrstrategien gegen moderne Botnets
Die parallelen Kampagnen von PowMix und RondoDox verdeutlichen, wie schnell sich Botnets zu flexiblen Angriffsplattformen entwickeln, die Stealth-Techniken, komplexe Infektionsketten und Monetarisierungsmodule kombinieren. Organisationen sollten insbesondere Mail-Gateways stärken, um ZIP- und LNK-Anhänge besser zu filtern, und die Ausführung von PowerShell durch Maßnahmen wie Script Signing, Constrained Language Mode und strikte Application-Control-Policies absichern. Für serverseitige Systeme sind ein konsequentes Patch-Management, der Einsatz von Web Application Firewalls und DDoS-Schutzlösungen essenziell.
Darüber hinaus gewinnt verhaltensbasierte Netzwerküberwachung an Bedeutung, um untypisches Beaconing und REST-ähnlichen C2-Traffic zu erkennen. Regelmäßige Security-Awareness-Trainings, die explizit auf Office-ähnliche ZIP-Anhänge, LNK-Dateien und unerwartete Compliance-Dokumente eingehen, bleiben eine der wirksamsten – und vergleichsweise kostengünstigen – Maßnahmen, um erfolgreiche Phishing-Angriffe zu verhindern. Unternehmen, die ihre Prozesse, Technologien und Schulungskonzepte jetzt an die Taktiken von PowMix, RondoDox und ähnlichen Botnets anpassen, reduzieren ihr Risiko signifikant und erhöhen ihre Resilienz gegenüber den nächsten Angriffswellen.
