С конца 2025 года в Чехии фиксируется целевая кампания с использованием ранее неописанного ботнета PowMix, нацеленного на работников компаний и соискателей. По данным аналитиков Cisco Talos, злоумышленники активно применяют продвинутые методы маскировки сетевой активности и загрузки вредоносного кода в память, усложняя обнаружение и реагирование на инциденты.
Цепочка заражения: ZIP-архив, LNK и PowerShell в памяти
Атака начинается с доставки жертве заражённого ZIP-архива, как правило, через фишинговое письмо с правдоподобным деловым содержанием. Внутри архива находится ярлык Windows (файл формата LNK), который пользователь принимает за документ или рабочий файл.
При открытии ярлыка запускается PowerShell‑загрузчик, отвечающий за извлечение скрытого внутри архива вредоносного компонента, его расшифровку и выполнение непосредственно в оперативной памяти. Такой подход (in-memory исполнение) минимизирует следы на диске и серьёзно затрудняет работу антивирусов и средств EDR, ориентированных на анализ файловой системы.
Функциональность PowMix: удалённый доступ, закрепление и уникальная C2-коммуникация
PowMix предназначен для удалённого администрирования скомпрометированного хоста, проведения разведки в сети и удалённого выполнения произвольного кода. Для закрепления в системе он создаёт запланированную задачу (Scheduled Task), обеспечивающую автоматический перезапуск вредоносного модуля.
Перед активацией очередного экземпляра ботнет проверяет дерево процессов, чтобы не допустить одновременной работы нескольких копий на одном хосте. Это позволяет экономить ресурсы и не привлекать лишнее внимание аномальной активностью.
Маскировка под REST API и рандомизация интервалов Beaconing
Ключевая особенность PowMix — нестандартный подход к коммуникации с командным сервером. Вместо постоянного соединения бот периодически отправляет “маячки” (beacons) на C2, причём интервалы выбираются случайным образом с помощью PowerShell-команды Get-Random. Сначала паузы находятся в диапазоне 0–261 секунд, затем сдвигаются к более редким запросам — 1 075–1 450 секунд. Такая “дрожь” (jitter) усложняет создание надёжных сетевых сигнатур и детектирование по регулярным шаблонам трафика.
Дополнительно PowMix встраивает зашифрованные данные heartbeat и уникальные идентификаторы устройства прямо в путь URL, имитируя обращения к легитимным REST API. Визуально сетевой трафик выглядит как обычные HTTP‑запросы к веб‑сервисам, что помогает уходить от простых правил фильтрации и сигнатурных IDS/IPS‑систем.
Социальная инженерия: документация по комплаенсу и бренды как приманка
Параллельно с запуском вредоносных процедур PowMix открывает документ‑приманку с темой соблюдения регуляторных требований и компенсаций. В лур‑документах используются упоминания известных брендов (например, Edeka), а также реальные отсылки к трудовому законодательству и выплатам.
Подобный подход повышает доверие у получателей, в частности у кандидатов на работу или сотрудников отделов кадров и бухгалтерии, которые часто работают с подобными файлами. В результате жертва меньше подозревает наличие вредоносной активности, считая происходящее частью нормального документооборота.
Тактическое сходство с кампанией ZipLine и использование Heroku
Исследователи отмечают, что PowMix демонстрирует заметное пересечение по тактике с кампанией ZipLine, описанной Check Point в августе 2025 года. Тогда целью выступали производственные компании, критичные для цепочек поставок, а вредоносный компонент MixShell также загружался в память и распространялся через ZIP‑архивы.
Общие элементы включают использование ZIP‑пакетов, закрепление через Scheduled Tasks и злоупотребление платформой Heroku как C2‑инфраструктурой. При этом в текущей кампании пока не обнаружено дополнительных финальных нагрузок, кроме самого ботнета PowMix, что оставляет открытым вопрос об окончательной цели операторов — будь то шпионаж, подготовка к будущим атакам или монетизация через последующие кампании.
RondoDox: параллельная эволюция ботнетов с DDoS и криптомайнингом
На фоне активности PowMix платформа Bitsight описывает цепочку заражения другого ботнета — RondoDox. В отличие от PowMix, RondoDox ориентирован на массовый захват интернет‑экспонированных систем, сочетая функции DDoS‑атаки и незаконного майнинга криптовалюты с помощью XMRig.
RondoDox способен эксплуатировать более 170 известных уязвимостей в веб‑приложениях и сервисах, чтобы получить первоначальный доступ. После успешной эксплуатации на устройство загружается shell‑скрипт, выполняющий базовые анти‑анализ проверки, удаляющий конкурирующий вредоносный софт и затем выгружающий бинарник ботнета, соответствующий архитектуре цели.
Антианализ и многоуровневые DoS‑атаки
Разработчики RondoDox внедрили широкий набор антианализ‑техник: использование nanomites, переименование и удаление файлов, завершение определённых процессов, активный поиск отладчиков во время исполнения. Это усложняет реверс‑инжиниринг и динамический анализ, повышая живучесть ботнета.
После закрепления RondoDox получает команды от C2‑сервера и может выполнять DoS‑ и DDoS‑атаки на разных уровнях — сетевом, транспортном и прикладном. Это делает его гибким инструментом для перегрузки инфраструктуры жертвы, вымогательства или конкурентной борьбы.
Сопоставление кампаний PowMix и RondoDox показывает, что ботнеты продолжают быстро эволюционировать, комбинируя стелс‑техники, сложные цепочки заражения и модули для монетизации (майнинг, вымогательство, DDoS‑услуги). Компаниям в Чехии и за её пределами критически важно усиливать защиту почтовых шлюзов, контролировать запуск PowerShell и других системных интерпретаторов, оперативно обновлять уязвимые интернет‑сервисы и внедрять поведенческий анализ сетевого трафика. Регулярное обучение сотрудников методам распознавания фишинга и нестандартных вложений остаётся одним из наиболее эффективных и при этом недорогих способов снизить риск успешной атаки ботнетов нового поколения.
