**PowMix**は、少なくとも2025年12月以降、チェコ共和国を積極的に標的にしています。**Cisco Talos**の研究者であるChetan Raghuprasad氏によると、「PowMixは、ネットワークシグネチャ検出を回避するために、C2サーバーへの永続的な接続ではなく、コマンド＆コントロール（C2）ビーコン間隔をランダム化しています。」 ### 回避技術 このボットネットの設計は、ステルス性と永続性に焦点を当てています。 * **C2ビーコンのランダム化:** **PowMix**は、一定の接続を維持する代わりに、通信間隔を変化させて検出を回避します。 * **暗号化されたハートビートデータ:** ボットネットは、正規のREST APIリクエストを模倣して、一意の識別子を含む暗号化されたデータをC2 URLパスに埋め込みます。 * **動的なC2アップデート:** **PowMix**は、C2ドメインをリモートで更新できるため、元のサーバーが侵害された場合でも継続的な運用を保証します。 ### 感染チェーン 攻撃は、フィッシングメールなどを通じて配布される可能性のある悪意のあるZIPファイルから始まります。このZIPファイルには、PowerShellローダーを実行するWindowsショートカット（LNK）ファイルが含まれています。ローダーは、**PowMix**マルウェアをメモリに展開、復号、実行します。 ### ボットネットの機能 **PowMix**は、リモートアクセス、偵察、リモートコード実行のために設計されています。スケジュールされたタスクを使用して永続性を確立し、プロセスツリーを検証して同じホストで複数のインスタンスの実行を回避します。 ボットネットは、C2サーバーから2種類のコマンドを処理できます。 * `#KILL`: マルウェアのすべての痕跡を削除する自己削除ルーチンを開始します。 * `#HOST`: 新しいサーバーURLへのC2移行を有効にします。 ### 欺瞞戦術 マルウェアは、**Edeka**のような正規ブランドを参照するコンプライアンスをテーマにした誘い文句のデコイ文書を開き、被害者を欺きます。これらの文書には、信憑性を持たせるために、補償データや法的な参照が含まれています。  ### ZipLineキャンペーンとの類似性 **Talos**は、2025年8月に**Check Point**が公開した**ZipLine**キャンペーンとの戦術的な重複を指摘しています。両方のキャンペーンは、ZIPベースのペイロード配信、スケジュールされたタスクによる永続性、およびC2インフラストラクチャに**Heroku**を使用しています。**ZipLine**キャンペーンは、**MixShell**マルウェアを使用して、サプライチェーンに不可欠な製造企業を標的にしていました。 ### RondoDoxボットネットの進化 関連ニュースとして、**Bitsight**は**RondoDox**ボットネットの進化する機能に光を当てています。このボットネットは、既存のDDoS機能に加えて、**XMRig**を使用した不正な仮想通貨マイニングも含まれるようになりました。 **RondoDox**は、170以上の既知の脆弱性を悪用して初期アクセスを獲得し、競合するマルウェアを削除するシェルスクリプトをドロップしてから、独自のバイナリを展開します。**Bitsight**の主任研究科学者であるJoão Godinho氏によると、このマルウェアは、ナノマイトの使用、ファイルの改名/削除、プロセスの終了、デバッガ検出など、さまざまなアンチ分析技術を採用しています。 ボットネットは、C2サーバーから受信したコマンドに応じて、インターネット、トランスポート、アプリケーション層でDoS攻撃を実行できます。