**PowMix** cible activement la République tchèque depuis au moins décembre 2025. Selon le chercheur de **Cisco Talos**, Chetan Raghuprasad, « PowMix utilise des intervalles de battement de commande et de contrôle (C2) aléatoires, plutôt qu'une connexion persistante au serveur C2, pour échapper aux détections de signatures réseau. » ### Techniques d'évasion La conception du botnet se concentre sur la discrétion et la persistance : * **Battement C2 aléatoire :** Au lieu de maintenir une connexion constante, **PowMix** varie ses intervalles de communication pour éviter la détection. * **Données de battement cryptées :** Le botnet intègre des données cryptées, y compris des identifiants uniques, dans les chemins d'URL C2, imitant des requêtes REST API légitimes. * **Mises à jour C2 dynamiques :** **PowMix** peut mettre à jour à distance son domaine C2, assurant une opération continue même si le serveur d'origine est compromis. ### Chaîne d'infection L'attaque commence par un fichier ZIP malveillant, probablement distribué par e-mails de phishing. Ce fichier ZIP contient un fichier LNK (raccourci Windows) qui exécute un chargeur PowerShell. Le chargeur extrait, déchiffre et exécute ensuite le malware **PowMix** en mémoire. ### Capacités du botnet **PowMix** est conçu pour l'accès à distance, la reconnaissance et l'exécution de code à distance. Il établit la persistance à l'aide de tâches planifiées et vérifie également l'arbre des processus pour éviter d'exécuter plusieurs instances de lui-même sur le même hôte. Le botnet peut traiter deux types de commandes du serveur C2 : * `#KILL` : Lance une routine d'auto-suppression, supprimant toutes les traces du malware. * `#HOST` : Permet la migration C2 vers une nouvelle URL de serveur. ### Tactiques de distraction Le malware ouvre également un document leurre avec des appels thématiques de conformité, faisant référence à des marques légitimes comme **Edeka**, pour distraire la victime. Ces documents incluent des données de compensation et des références législatives pour paraître crédibles.  ### Similitudes avec la campagne ZipLine **Talos** note des chevauchements tactiques avec la campagne **ZipLine**, divulguée par **Check Point** en août 2025. Les deux campagnes utilisent la distribution de charge utile basée sur ZIP, la persistance par tâches planifiées et **Heroku** pour l'infrastructure C2. La campagne **ZipLine** ciblait des entreprises manufacturières critiques pour la chaîne d'approvisionnement avec le malware **MixShell**. ### Évolution du botnet RondoDox Dans l'actualité connexe, **Bitsight** a mis en lumière les capacités évolutives du botnet **RondoDox**. Ce botnet inclut désormais l'exploitation minière illicite de cryptomonnaies à l'aide de **XMRig**, en plus de ses capacités DDoS existantes. **RondoDox** exploite plus de 170 vulnérabilités connues pour obtenir un accès initial, en déposant un script shell qui supprime les malwares concurrents avant de déployer ses propres binaires. Selon João Godinho, chercheur principal chez **Bitsight**, le malware utilise diverses techniques anti-analyse, y compris l'utilisation de « nanomites », le renommage/suppression de fichiers, la terminaison de processus et la détection de débogueurs. Le botnet peut effectuer des attaques DoS aux couches Internet, transport et application, en fonction des commandes reçues de son serveur C2.