З кінця 2025 року в Чехії фіксується цілеспрямована кампанія із застосуванням раніше невідомого ботнета PowMix, який орієнтований на працівників компаній та пошукачів роботи. За даними аналітиків Cisco Talos, оператори використовують комбінацію фішингу, виконання коду виключно в пам’яті та маскування мережевої активності, що суттєво ускладнює виявлення загрози традиційними засобами захисту.
Ланцюжок зараження PowMix: ZIP‑архів, LNK‑файл і PowerShell у пам’яті
Початковий етап атаки на PowMix базується на фішинговому листі з правдоподібним діловим змістом. Жертві надсилають ZIP‑архів, усередині якого знаходиться ярлик Windows (файл .lnk), замаскований під документ або робочий файл. Такий підхід типово використовується в цілеспрямованих кампаніях, оскільки користувачі звикли до архівів у пошті й рідко перевіряють справжній тип файлу.
Після відкриття ярлика запускається PowerShell‑завантажувач, який витягає прихований в архіві шкідливий компонент, розшифровує його та виконує без запису на диск, безпосередньо в оперативній пам’яті (in‑memory). Такий метод обходить більшість класичних антивірусів і частину EDR‑рішень, орієнтованих на аналіз файлової системи, адже на диску не залишається артефактів для сигнатурного аналізу.
Функціональність PowMix та маскування C2‑комунікацій
PowMix виконує роль засобу віддаленого адміністрування скомпрометованого хоста. Він підтримує збір інформації про систему та мережеве оточення, виконання довільних команд і підготовку до можливих подальших етапів атаки. Для закріплення в системі ботнет створює заплановане завдання (Scheduled Task), що забезпечує автоматичний перезапуск після перезавантаження.
Перед запуском нового екземпляра PowMix перевіряє дерево процесів і забороняє паралельну роботу кількох копій на одному хості. Це знижує навантаження на систему і зменшує ризик виявлення за рахунок аномальної активності.
Імітація REST API та рандомізовані інтервали beacon‑запитів
Ключова особливість PowMix — нестандартна організація взаємодії з командним сервером (C2). Замість постійного з’єднання бот періодично надсилає короткі запити‑«маячки» (beacons), причому інтервали між ними випадково обираються через команду PowerShell Get-Random. Спочатку паузи становлять 0–261 секунд, надалі збільшуються до 1 075–1 450 секунд. Така рандомізація (jitter) ускладнює побудову стабільних сигнатур трафіку та виявлення за регулярністю звернень.
Додатково PowMix вбудовує зашифровану heartbeat‑інформацію та унікальні ідентифікатори пристрою безпосередньо в шлях URL, імітуючи виклики до легітимних REST API. З погляду мережевих логів це виглядає як звичайні HTTP‑запити до веб‑сервісів, що дозволяє обходити прості правила фільтрації та частину сигнатурних IDS/IPS‑систем.
Соціальна інженерія: документи з комплаєнсу та відомі бренди як приманка
Паралельно з активацією шкідливих процедур PowMix відкриває документ‑приманку, присвячений дотриманню регуляторних вимог, компенсаціям або трудовому праву. У тексті використовуються згадки відомих брендів (зокрема Edeka) та реальні посилання на законодавство й виплати працівникам.
Такі теми природно виглядають для співробітників HR‑відділів, бухгалтерії й кандидатів на вакансії, які звикли працювати з подібними файлами. У результаті користувачі менше підозрюють шкідливу активність, сприймаючи відкриття документа як частину звичайного документообігу.
Тактичні паралелі з кампанією ZipLine та зловживання платформою Heroku
Дослідники відзначають помітну схожість PowMix із кампанією ZipLine, описаною компанією Check Point у серпні 2025 року. У тій операції атакувалися виробничі підприємства, критичні для ланцюгів постачання, а шкідливий модуль MixShell також завантажувався в пам’ять і поширювався через ZIP‑архіви.
Спільними елементами є використання ZIP‑пакетів, закріплення через Scheduled Tasks та зловживання платформою Heroku як C2‑інфраструктурою. У поточній кампанії досі не зафіксовано додаткових фінальних навантажень, окрім самого PowMix, що залишає відкритим питання про кінцеву мету операторів: довгострокове шпигунство, підготовка до руйнівних атак чи подальша монетизація через окремі кампанії.
RondoDox: масовий ботнет для DDoS‑атак і нелегального криптомайнингу
Паралельно з PowMix платформа Bitsight описує інший активний ботнет — RondoDox. На відміну від прицільного PowMix, RondoDox орієнтований на масовий злам інтернет‑експонованих систем і поєднує можливості проведення DDoS‑атак із нелегальним майнингом криптовалюти через XMRig.
Експлуатація вразливостей, антианаліз і багаторівневі DoS‑кампанії
За оцінкою дослідників, RondoDox здатний експлуатувати понад 170 відомих вразливостей у веб‑застосунках і сервісах для отримання початкового доступу. Після успішної експлуатації на ціль завантажується shell‑скрипт, який виконує базові антианаліз‑перевірки, видаляє конкуруючі шкідливі програми та вивантажує бінарний модуль ботнета, що відповідає архітектурі пристрою.
RondoDox використовує розширений набір антианаліз‑технік: застосування nanomites, перейменування й видалення файлів, завершення певних процесів, пошук активних відлагоджувачів. Це ускладнює реверс‑інжиніринг і динамічний аналіз, підвищуючи живучість ботнета. Після закріплення він отримує команди з C2‑серверів і може проводити DoS/DDoS‑атаки на мережевому, транспортному та прикладному рівнях, що робить його універсальним інструментом для шантажу, конкурентної боротьби чи DDoS‑як‑послуги.
Практичні заходи захисту від PowMix, RondoDox та подібних ботнетів
Еволюція PowMix і RondoDox демонструє загальну тенденцію: ботнети поєднують стелс‑техніки, складні ланцюжки зараження та модулі монетизації. Для організацій у Чехії та інших країнах критично важливо посилити захист електронної пошти (фільтрація архівів і LNK‑файлів), контролювати запуск PowerShell та інших системних інтерпретаторів (AppLocker, обмежений режим, розширене логування) і впроваджувати EDR‑рішення з поведінковим аналізом.
Інтернет‑експоновані сервіси мають регулярно оновлюватися, доповнюватися WAF‑захистом і системами виявлення атак на відомі вразливості. Рекомендовано застосовувати аналіз аномалій мережевого трафіку, зокрема нестандартних HTTP‑запитів до хмарних платформ (таких як Heroku), журналювати й перевіряти вихідні з’єднання серверів і робочих станцій.
Не менш важливим залишається навчання співробітників розпізнаванню фішингових листів, підозрілих вкладень і нетипових запитів до надання документів чи персональних даних. Регулярні тренінги та симуляції фішингових атак суттєво знижують ймовірність успішного початкового компромету, який і відкриває шлях ботнетам нового покоління. Компаніям варто вже зараз переглянути політики безпеки, оновити засоби захисту та підвищити обізнаність персоналу, щоб мінімізувати ризики від подальшого розвитку подібних загроз.
