Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
PowMix sconvolge la Repubblica Ceca: botnet invisibile con beaconing random e C2 camuffato da API REST
Una nuova campagna malware sta colpendo la forza lavoro nella Repubblica Ceca con un botnet finora non documentato chiamato PowMix, attivo almeno da dicembre 2025. Il punto distintivo di PowMix è la sua capacità di eludere il rilevamento di rete grazie a un traffico di comando e controllo (C2) non costante.
Invece di mantenere una connessione persistente con il server C2, il malware utilizza intervalli di beaconing randomizzati, rendendo più difficile creare firme prevedibili basate su periodicità e pattern ripetitivi.
PowMix incorpora dati di heartbeat cifrati e identificativi univoci della macchina vittima direttamente nei percorsi URL, simulando richieste che assomigliano a normali endpoint di API REST. Questa scelta aumenta la probabilità che il traffico passi inosservato tra comunicazioni legittime. Un ulteriore elemento di resilienza è la possibilità di aggiornare dinamicamente il dominio C2 modificando la configurazione del botnet da remoto, utile per migrare rapidamente in caso di blocchi o takedown.
La catena di infezione inizia tipicamente con un archivio ZIP malevolo, verosimilmente distribuito tramite phishing. All’interno del pacchetto è presente un collegamento Windows LNK che avvia un loader PowerShell. Il loader estrae il payload nascosto nell’archivio, lo decifra e lo esegue in memoria, tecnica che riduce le tracce su disco e complica l’analisi forense. Per mantenere la persistenza sul sistema compromesso, PowMix crea una attività pianificata, e controlla anche l’albero dei processi per evitare che più istanze del malware vengano eseguite contemporaneamente.
Sul piano operativo, la logica di gestione remota consente di interpretare comandi dal C2. Due comandi chiave includono KILL, che avvia una procedura di autodistruzione e pulizia degli artefatti, e HOST, che abilita la migrazione verso un nuovo URL del server C2. Se la risposta del server non segue il formato previsto, PowMix può passare a una modalità di esecuzione arbitraria, decifrando ed eseguendo ulteriori payload.
Durante l’attacco viene anche aperto un documento esca con temi di compliance, citazioni legislative e riferimenti a brand reali, con l’obiettivo di aumentare credibilità e distrarre la vittima. Alcune tattiche ricordano campagne precedenti basate su ZIP, persistenza tramite task pianificati e uso di piattaforme cloud per il C2, ma al momento non sono stati osservati payload finali oltre al botnet stesso, lasciando incerta la motivazione precisa.