**PowMix** tem atacado ativamente a República Tcheca desde pelo menos dezembro de 2025. De acordo com o pesquisador da **Cisco Talos**, Chetan Raghuprasad, "PowMix emprega intervalos de beaconing de comando e controle (C2) aleatórios, em vez de uma conexão persistente ao servidor C2, para evadir as detecções de assinatura de rede." ### Técnicas de Evasão O design da botnet foca em furtividade e persistência: * **Beaconing C2 Aleatório:** Em vez de manter uma conexão constante, o **PowMix** varia seus intervalos de comunicação para evitar a detecção. * **Dados de Heartbeat Criptografados:** A botnet incorpora dados criptografados, incluindo identificadores únicos, dentro dos caminhos de URL C2, imitando requisições de API REST legítimas. * **Atualizações Dinâmicas de C2:** O **PowMix** pode atualizar remotamente seu domínio C2, garantindo a operação contínua mesmo se o servidor original for comprometido. ### Cadeia de Infecção O ataque começa com um arquivo ZIP malicioso, provavelmente distribuído via e-mails de phishing. Este arquivo ZIP contém um arquivo LNK (Windows Shortcut) que executa um loader PowerShell. O loader então extrai, descriptografa e executa o malware **PowMix** na memória. ### Capacidades da Botnet O **PowMix** é projetado para acesso remoto, reconhecimento e execução remota de código. Ele estabelece persistência usando tarefas agendadas e também verifica a árvore de processos para evitar a execução de múltiplas instâncias no mesmo host. A botnet pode processar dois tipos de comandos do servidor C2: * `#KILL`: Inicia uma rotina de autoexclusão, removendo todos os vestígios do malware. * `#HOST`: Habilita a migração do C2 para uma nova URL de servidor. ### Táticas de Distração O malware também abre um documento de isca com temas de conformidade, referenciando marcas legítimas como a **Edeka**, para distrair a vítima. Esses documentos incluem dados de compensação e referências legislativas para parecerem críveis.  ### Semelhanças com a Campanha ZipLine A **Talos** observa sobreposições táticas com a campanha **ZipLine**, divulgada pela **Check Point** em agosto de 2025. Ambas as campanhas usam entrega de payload baseada em ZIP, persistência via tarefas agendadas e **Heroku** para infraestrutura C2. A campanha **ZipLine** visou empresas de manufatura críticas para a cadeia de suprimentos com o malware **MixShell**. ### Evolução da Botnet RondoDox Em notícias relacionadas, a **Bitsight** lançou luz sobre as capacidades em evolução da botnet **RondoDox**. Esta botnet agora inclui mineração ilícita de criptomoedas usando **XMRig**, além de suas capacidades existentes de DDoS. O **RondoDox** explora mais de 170 vulnerabilidades conhecidas para obter acesso inicial, entregando um script shell que remove malware concorrente antes de implantar seus próprios binários. De acordo com o Principal Cientista de Pesquisa da **Bitsight**, João Godinho, o malware emprega várias técnicas anti-análise, incluindo o uso de nanomites, renomeação/remoção de arquivos, término de processos e detecção de debugger. A botnet pode realizar ataques DoS nas camadas de internet, transporte e aplicação, dependendo dos comandos recebidos de seu servidor C2.