Investigadores de ciberseguridad han capaz sobre una campaña maliciosa activa dirigida a la fuerza gremial en la República Checa con una botnet previamente indocumentada denominada mezcla de polvo desde al menos diciembre de 2025.
“PowMix emplea intervalos de balizas de comando y control (C2) aleatorios, en ocasión de una conexión persistente al servidor C2, para evitar las detecciones de firmas de red”, dijo Chetan Raghuprasad, investigador de Cisco Talos, en un mensaje publicado hoy.
“PowMix incorpora los datos de latidos cifrados adyacente con identificadores únicos de la máquina víctima en las rutas URL de C2, imitando las URL de API REST legítimas. PowMix tiene la capacidad de poner al día dinámicamente de forma remota el nuevo dominio C2 al archivo de configuración de la botnet”.
La prisión de ataque comienza con un archivo ZIP pillo, probablemente entregado a través de un correo electrónico de phishing, para activar una prisión de infección de varias etapas que elimina PowMix. Específicamente, se tráfico de un camino directo de Windows (LNK) que se utiliza para iniciar un cargador de PowerShell, que luego extrae el malware incrustado en el archivo, lo descifra y lo ejecuta en la memoria.
La botnet nunca antaño aspecto está diseñada para suministrar el camino remoto, el gratitud y la ejecución remota de código, al tiempo que establece persistencia mediante una tarea programada. Al mismo tiempo, verifica el árbol de procesos para respaldar que no se esté ejecutando otra instancia del mismo malware en el host comprometido.
La dialéctica de mandato remota de PowMix le permite procesar dos tipos diferentes de comandos enviados desde el servidor C2. Cualquier respuesta sin prefijo # hace que PowMix cambie al modo de ejecución caprichoso y descifre y ejecute la carga útil obtenida.
- #KILL, para iniciar una rutina de autoeliminación y borrar rastros de todos los artefactos maliciosos
- #HOST, para habilitar la migración de C2 a una nueva URL del servidor.
Paralelamente, asimismo abre un documento señuelo con señuelos con temática de cumplimiento como mecanismo de distracción. Los documentos señuelo hacen narración a marcas legítimas como Edeka e incluyen datos de compensación y referencias legislativas válidas, potencialmente en un esfuerzo por mejorar su credibilidad y engañar a los destinatarios, como los aspirantes a empleo.
Talos dijo que la campaña comparte cierto nivel de superposición táctica con una campaña denominada ZipLine que Check Point reveló a fines de agosto de 2025 como dirigida a empresas de fabricación críticas para la prisión de suministro con un malware en memoria llamado MixShell.
Esto incluye el uso de la misma entrega de carga útil basada en ZIP, la persistencia de tareas programadas y el atropello de Heroku para C2. Dicho esto, no se han observado cargas avíos finales más allá del propio malware botnet, lo que deja sin respuesta preguntas sobre sus motivos exactos.
“PowMix evita conexiones persistentes al servidor C2”, dijo Talos. “En su ocasión, implementa una fluctuación a través del comando Get-Random PowerShell para variar los intervalos de baliza inicialmente entre 0 y 261 segundos, y seguidamente entre 1.075 y 1.450 segundos. Esta técnica intenta evitar la detección de tráfico C2 a través de firmas de red predecibles”.
La divulgación se produce cuando Bitsight arroja luz sobre la prisión de infección asociada con la botnet RondoDox, destacando las capacidades en desarrollo del malware para extraer criptomonedas ilícitamente en sistemas infectados usando XMRig encima de la funcionalidad de ataque de denegación de servicio distribuido (DDoS) existente.
Los hallazgos pintan la imagen de un malware mantenido activamente que ofrece despreocupación mejorada, decano resistor, matanza agresiva de la competencia y un conjunto de funciones ampliado.
RondoDox es capaz de explotar más de 170 vulnerabilidades conocidas en varias aplicaciones conectadas a Internet para obtener camino original y soltar un script de shell que realiza un antianálisis fundamental y elimina el malware de la competencia antaño de soltar el binario de botnet apropiado para la construcción.
El malware “realiza múltiples comprobaciones e implementa técnicas para obstaculizar el estudio, que incluyen el uso de nanomites, renombrar/eliminar archivos, eliminar procesos y confirmar activamente si hay depuradores durante la ejecución”, dijo el comprobado investigador principal de Bitsight, João Godinho.
“El autómata es capaz de ejecutar ataques DoS en Internet, en la capa de transporte y de aplicación, dependiendo del comando y los argumentos emitidos por el C2”.
