Botnet PowMix
Des chercheurs en cybersécurité ont identifié une campagne malveillante en cours ciblant les travailleurs en République tchèque depuis au moins décembre 2025. Au cœur de cette opération se trouve un botnet jusqu'alors inconnu, connu sous le nom de PowMix. Cette menace est conçue pour contourner les mécanismes de détection traditionnels en évitant les connexions persistantes à son infrastructure de commande et de contrôle (C2), et en s'appuyant plutôt sur des schémas de communication aléatoires.
Table des matières
Communication furtive : Techniques avancées d’évasion C2
PowMix utilise des méthodes sophistiquées pour rester indétectable au sein des réseaux. Au lieu de maintenir un contact permanent avec ses serveurs de commande et de contrôle (C2), il emploie des intervalles de balisage aléatoires générés par des commandes PowerShell. Ces intervalles varient initialement de 0 à 261 secondes, puis s'étendent jusqu'à atteindre entre 1 075 et 1 450 secondes, perturbant ainsi efficacement les schémas de trafic prévisibles.
De plus, le botnet intègre des données de pulsation chiffrées et des identifiants uniques de victimes directement dans les URL du serveur de commande et de contrôle (C2), imitant ainsi le trafic légitime des API REST. Cette conception permet au logiciel malveillant de se fondre parfaitement dans les communications réseau normales. Le botnet est également capable de mettre à jour dynamiquement son domaine C2 via son fichier de configuration, garantissant ainsi la continuité de ses opérations même en cas de modification de l'infrastructure.
Chaîne d’infection : stratégie de déploiement en plusieurs étapes
L'attaque débute par une archive ZIP malveillante, généralement diffusée par le biais de courriels d'hameçonnage. Une fois ouverte, l'archive déclenche un processus d'infection en plusieurs étapes soigneusement orchestré :
- Un fichier de raccourci Windows (LNK) lance l'exécution
- Un chargeur PowerShell extrait et déchiffre la charge utile intégrée
- Le logiciel malveillant est exécuté directement en mémoire, minimisant ainsi les artefacts sur disque.
Cette approche d'exécution sans fichier réduit considérablement la probabilité de détection par les outils de sécurité conventionnels.
Capacités et mécanismes de persistance
PowMix est conçu comme un outil d'accès à distance polyvalent, permettant aux attaquants d'effectuer des reconnaissances, d'exécuter du code arbitraire et de maintenir un contrôle durable sur les systèmes compromis. Sa persistance est assurée par la création de tâches planifiées, garantissant ainsi que le logiciel malveillant reste actif même après un redémarrage du système.
Pour maintenir la stabilité opérationnelle, le logiciel malveillant vérifie l'arborescence des processus afin d'empêcher l'exécution simultanée de plusieurs instances sur le même hôte.
Cadre d’exécution des commandes : architecture de contrôle flexible
Le botnet prend en charge deux catégories principales de commandes émises depuis le serveur C2. Son comportement est déterminé par le format de la réponse du serveur :
Les commandes sans préfixe « # » déclenchent un mode d'exécution arbitraire, incitant le logiciel malveillant à déchiffrer et à exécuter les charges utiles reçues.
Les commandes spéciales incluent :
#KILL : Lance l'auto-suppression et efface toute trace d'activité malveillante.
#HÔTE : Met à jour l’adresse du serveur C2 du botnet pour assurer la continuité de la communication.
Cette structure de commandes flexible permet aux opérateurs d'adapter le comportement du logiciel malveillant en temps réel.
Couche d’ingénierie sociale : Documents leurres pour détourner l’attention
Pour accroître son efficacité, la campagne recourt à des techniques d'ingénierie sociale. Les victimes reçoivent des documents leurres abordant des thèmes liés à la conformité et conçus pour paraître légitimes. Ces documents font référence à des marques connues comme Edeka et incluent des informations sur les rémunérations ainsi que des références législatives légitimes. Ces éléments visent à instaurer un climat de confiance et à tromper les cibles, notamment les demandeurs d'emploi, afin de les inciter à interagir avec le contenu malveillant.
Chevauchement tactique : Liens avec la campagne de tyrolienne
L'analyse révèle des similitudes entre PowMix et une campagne précédemment divulguée, connue sous le nom de ZipLine, qui ciblait les secteurs manufacturiers critiques de la chaîne d'approvisionnement en août 2025. Les tactiques communes incluent la livraison de charges utiles basée sur ZIP, la persistance via des tâches planifiées et l'utilisation de l'infrastructure Heroku pour les opérations C2.
Malgré ces recoupements, aucune charge utile supplémentaire en dehors du botnet PowMix n'a été observée. Cela laisse planer le doute quant aux objectifs ultimes de la campagne et suggère l'émergence future de développements ultérieurs ou de charges utiles secondaires.
