Desde finales de 2025 se ha detectado en Chequia una campaña dirigida de malware que emplea un botnet hasta ahora no documentado, denominado PowMix, focalizado en empleados de empresa y candidatos a puestos de trabajo. Investigaciones recientes de Cisco Talos describen una operación silenciosa, basada en el abuso de PowerShell y en la ejecución del código malicioso en memoria, que complica notablemente su detección por soluciones tradicionales de seguridad.
Cadena de infección de PowMix: ZIP malicioso, LNK y PowerShell en memoria
La intrusión comienza con el envío de un archivo ZIP adjunto en correos de phishing, redactados con un lenguaje corporativo convincente. Dentro del ZIP se esconde un acceso directo de Windows (archivo .lnk) que se presenta como si fuera un documento o un archivo de trabajo legítimo.
Al hacer doble clic en el acceso directo, se ejecuta un cargador en PowerShell. Este script extrae un componente malicioso oculto en el propio archivo, lo descifra y lo ejecuta directamente en la memoria RAM del equipo (in‑memory execution). Al no escribir prácticamente nada en disco, el botnet reduce la huella forense y evita muchos mecanismos de detección basados en el análisis de archivos, tanto en antivirus clásicos como en diversas soluciones EDR.
Capacidades de PowMix: persistencia, control remoto y comunicaciones C2 camufladas
Una vez comprometido el sistema, PowMix actúa como una herramienta de administración remota encubierta. Permite a los atacantes inventariar el entorno, ejecutar comandos arbitrarios y preparar el terreno para fases posteriores, como el robo de información o el despliegue de cargas adicionales.
Para conservar el acceso, el malware crea una Tarea Programada de Windows que garantiza su ejecución tras reinicios. El botnet verifica además los procesos activos antes de iniciarse, evitando que varias instancias funcionen simultáneamente en el mismo host, lo que disminuye el consumo de recursos y reduce el riesgo de delatar su presencia por actividad anómala.
Beaconing aleatorio y suplantación de tráfico REST
Uno de los rasgos más sofisticados de PowMix es su sistema de comunicación con el servidor de mando y control (C2). En lugar de mantener una conexión constante, el bot envía “balizas” (beacons) periódicas, cuyos intervalos se calculan de forma aleatoria mediante el comando Get‑Random de PowerShell. Inicialmente, los tiempos de espera oscilan entre 0 y 261 segundos, para después ampliarse a rangos mayores (aprox. 1 075–1 450 segundos). Esta variación o jitter dificulta la creación de reglas de detección basadas en patrones regulares de tráfico.
Adicionalmente, PowMix integra datos cifrados de estado y un identificador único del dispositivo directamente en la ruta de la URL, imitando peticiones a API REST legítimas. El resultado es un tráfico HTTP que, a simple vista, se asemeja a consultas normales a servicios web, complicando el trabajo de sistemas IDS/IPS que dependen de firmas estáticas o reglas de filtrado simples.
Ingeniería social: documentos de cumplimiento normativo y marcas reconocidas
En paralelo a la ejecución del código malicioso, PowMix abre un documento señuelo relacionado con cumplimiento de normativas laborales, compensaciones y beneficios. Estos archivos mencionan marcas conocidas, como cadenas de supermercados, y hacen referencia a la legislación laboral vigente, lo que incrementa su credibilidad.
Este enfoque está claramente orientado a departamentos de RR. HH. y finanzas, así como a candidatos que manejan con frecuencia documentación contractual. La naturalidad del contenido reduce las sospechas de la víctima, que percibe el archivo como parte del flujo normal de trabajo, mientras el malware se instala de forma silenciosa en segundo plano.
Conexión con la campaña ZipLine y uso de Heroku como infraestructura C2
Los analistas encuentran una coincidencia táctica notable con la campaña ZipLine, descrita públicamente por Check Point en agosto de 2025. En aquel caso, el malware MixShell también se distribuía mediante archivos ZIP y se ejecutaba en memoria, con un enfoque particular en empresas manufactureras críticas para las cadenas de suministro.
PowMix comparte diversos elementos con ZipLine: uso sistemático de ZIP, persistencia mediante Tareas Programadas y aprovechamiento de la plataforma Heroku como servidor C2. Sin embargo, en la campaña actual aún no se han observado cargas finales adicionales, más allá del propio botnet, lo que deja abierta la hipótesis de un objetivo principal de espionaje, preparación para ataques posteriores o futuras campañas de monetización.
RondoDox: botnet paralelo centrado en DDoS y criptominería
Mientras PowMix se mantiene focalizado en objetivos concretos, la plataforma Bitsight ha documentado una cadena de infección distinta vinculada al botnet RondoDox. A diferencia de PowMix, RondoDox persigue el compromiso masivo de sistemas expuestos a Internet, combinando capacidades de ataque DDoS con minería ilícita de criptomonedas basada en el popular minero XMRig.
El botnet es capaz de explotar más de un centenar de vulnerabilidades conocidas en aplicaciones y servicios web para obtener acceso inicial. Tras la explotación, un script de shell ejecuta comprobaciones anti‑análisis básicas, elimina otros malware competidores y descarga el binario adecuado a la arquitectura del dispositivo comprometido, optimizando así su eficacia.
Técnicas anti‑análisis y ataques DDoS en múltiples capas
RondoDox incorpora un amplio abanico de mecanismos anti‑análisis, como el uso de técnicas tipo nanomites, la modificación y borrado de archivos, la finalización de procesos concretos y la búsqueda activa de depuradores durante la ejecución. Estas defensas obstaculizan el trabajo de los analistas de malware y aumentan la resiliencia del botnet.
Una vez consolidado, RondoDox puede recibir órdenes desde su C2 para lanzar ataques de denegación de servicio (DoS y DDoS) a nivel de red, transporte y aplicación. Esta versatilidad permite utilizarlo tanto para extorsionar a organizaciones como para eliminar competitivamente la presencia online de terceros.
La evolución paralela de PowMix y RondoDox confirma una tendencia clara: los botnets modernos combinan técnicas de sigilo, explotación masiva de vulnerabilidades y módulos de monetización como la criptominería y el DDoS por encargo. Para mitigar estos riesgos, las organizaciones deben reforzar sus gateways de correo contra el phishing, restringir y monitorizar el uso de PowerShell y otros intérpretes, aplicar con rapidez parches a servicios expuestos a Internet e invertir en análisis de tráfico basado en comportamiento. Complementar estas medidas con programas continuos de concienciación en ciberseguridad para empleados sigue siendo una de las formas más rentables y eficaces de reducir la superficie de ataque frente a botnets de nueva generación.
