**PowMix** zielt seit mindestens Dezember 2025 aktiv auf die Tschechische Republik ab. Laut dem Forscher Chetan Raghuprasad von **Cisco Talos** "setzt PowMix auf zufällige Befehls- und Kontroll- (C2) Beaconing-Intervalle anstelle einer persistenten Verbindung zum C2-Server, um Netzwerk-Signaturerkennungen zu umgehen." ### Ausweichtechniken Das Design des Botnets konzentriert sich auf Tarnung und Persistenz: * **Zufälliges C2-Beaconing:** Anstatt eine ständige Verbindung aufrechtzuerhalten, variiert **PowMix** seine Kommunikationsintervalle, um eine Erkennung zu vermeiden. * **Verschlüsselte Heartbeat-Daten:** Das Botnet bettet verschlüsselte Daten, einschließlich eindeutiger Identifikatoren, in C2-URL-Pfade ein und ahmt dabei legitime REST API-Anfragen nach. * **Dynamische C2-Updates:** **PowMix** kann seine C2-Domäne remote aktualisieren, um den fortgesetzten Betrieb sicherzustellen, selbst wenn der ursprüngliche Server kompromittiert wird. ### Infektionskette Der Angriff beginnt mit einer bösartigen ZIP-Datei, die wahrscheinlich über Phishing-E-Mails verteilt wird. Diese ZIP-Datei enthält eine Windows-Verknüpfungsdatei (LNK), die einen PowerShell-Loader ausführt. Der Loader extrahiert, entschlüsselt und führt dann die **PowMix**-Malware im Speicher aus. ### Botnet-Fähigkeiten **PowMix** ist für Fernzugriff, Aufklärung und Remote Code Execution konzipiert. Es stellt Persistenz durch geplante Aufgaben her und überprüft auch den Prozessbaum, um die Ausführung mehrerer Instanzen auf demselben Host zu vermeiden. Das Botnet kann zwei Arten von Befehlen vom C2-Server verarbeiten: * `#KILL`: Initiiert eine Selbstlöschungsroutine, die alle Spuren der Malware entfernt. * `#HOST`: Ermöglicht die Migration des C2 zu einer neuen Server-URL. ### Ablenkungsmanöver Die Malware öffnet auch ein Ablenkungsdokument mit Compliance-bezogenen Lockmitteln, die sich auf legitime Marken wie **Edeka** beziehen, um das Opfer abzulenken. Diese Dokumente enthalten Vergütungsdaten und gesetzliche Verweise, um glaubwürdig zu erscheinen.  ### Ähnlichkeiten zur ZipLine-Kampagne **Talos** stellt taktische Überschneidungen mit der **ZipLine**-Kampagne fest, die im August 2025 von **Check Point** offengelegt wurde. Beide Kampagnen verwenden ZIP-basierte Payload-Bereitstellung, Persistenz über geplante Aufgaben und **Heroku** für die C2-Infrastruktur. Die **ZipLine**-Kampagne zielte mit der **MixShell**-Malware auf kritische Unternehmen der Lieferkettenfertigung ab. ### Entwicklung des RondoDox Botnets In verwandten Nachrichten hat **Bitsight** Einblicke in die sich entwickelnden Fähigkeiten des **RondoDox**-Botnets gegeben. Dieses Botnet umfasst nun neben seinen bestehenden DDoS-Fähigkeiten auch illegales Kryptowährungs-Mining mit **XMRig**. **RondoDox** nutzt über 170 bekannte Schwachstellen für den Erstzugriff und setzt ein Shell-Skript ab, das konkurrierende Malware entfernt, bevor seine eigenen Binärdateien bereitgestellt werden. Laut dem Principal Research Scientist von **Bitsight**, João Godinho, setzt die Malware verschiedene Anti-Analyse-Techniken ein, darunter die Verwendung von Nanomiten, Umbenennung/Entfernung von Dateien, Prozessbeendigung und Debugger-Erkennung. Das Botnet kann DoS-Angriffe auf der Internet-, Transport- und Anwendungsebene durchführen, abhängig von den Befehlen, die es von seinem C2-Server erhält.