**PowMix** ha estado atacando activamente la República Checa desde al menos diciembre de 2025. Según el investigador de **Cisco Talos**, Chetan Raghuprasad, "PowMix emplea intervalos de beaconing de comando y control (C2) aleatorios, en lugar de una conexión persistente al servidor C2, para evadir las detecciones de firmas de red". ### Técnicas de Evasión El diseño de la botnet se centra en el sigilo y la persistencia: * **Beaconing C2 Aleatorio:** En lugar de mantener una conexión constante, **PowMix** varía sus intervalos de comunicación para evitar la detección. * **Datos de Heartbeat Cifrados:** La botnet incrusta datos cifrados, incluidos identificadores únicos, dentro de las rutas de URL de C2, imitando solicitudes legítimas de REST API. * **Actualizaciones Dinámicas de C2:** **PowMix** puede actualizar remotamente su dominio C2, asegurando la operación continua incluso si el servidor original se ve comprometido. ### Cadena de Infección El ataque comienza con un archivo ZIP malicioso, probablemente distribuido a través de correos electrónicos de phishing. Este archivo ZIP contiene un archivo de acceso directo de Windows (LNK) que ejecuta un cargador de PowerShell. El cargador luego extrae, descifra y ejecuta el malware **PowMix** en memoria. ### Capacidades de la Botnet **PowMix** está diseñado para acceso remoto, reconocimiento y ejecución remota de código. Establece persistencia utilizando tareas programadas y también verifica el árbol de procesos para evitar ejecutar múltiples instancias de sí mismo en el mismo host. La botnet puede procesar dos tipos de comandos del servidor C2: * `#KILL`: Inicia una rutina de autodestrucción, eliminando todos los rastros del malware. * `#HOST`: Permite la migración de C2 a una nueva URL de servidor. ### Tácticas de Distracción El malware también abre un documento señuelo con señuelos temáticos de cumplimiento, haciendo referencia a marcas legítimas como **Edeka**, para distraer a la víctima. Estos documentos incluyen datos de compensación y referencias legislativas para parecer creíbles.  ### Similitudes con la Campaña ZipLine **Talos** señala solapamientos tácticos con la campaña **ZipLine**, revelada por **Check Point** en agosto de 2025. Ambas campañas utilizan la entrega de carga útil basada en ZIP, persistencia mediante tareas programadas y **Heroku** para la infraestructura C2. La campaña **ZipLine** se dirigió a empresas de fabricación críticas para la cadena de suministro con el malware **MixShell**. ### Evolución de la Botnet RondoDox En noticias relacionadas, **Bitsight** ha arrojado luz sobre las capacidades en evolución de la botnet **RondoDox**. Esta botnet ahora incluye minería ilícita de criptomonedas utilizando **XMRig**, además de sus capacidades existentes de DDoS. **RondoDox** explota más de 170 vulnerabilidades conocidas para obtener acceso inicial, descargando un script de shell que elimina malware competidor antes de desplegar sus propios binarios. Según el Científico Principal de Investigación de **Bitsight**, João Godinho, el malware emplea varias técnicas anti-análisis, incluido el uso de nanomitas, renombrado/eliminación de archivos, terminación de procesos y detección de depuradores. La botnet puede realizar ataques DoS en las capas de internet, transporte y aplicación, dependiendo de los comandos recibidos de su servidor C2.