El botnet PowMix apunta a la fuerza laboral checa a través de un señuelo de una empresa mediática
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Cisco Talos descubrió un botnet rastreado como PowMix que ha estado activo al menos desde diciembre de 2025 y está dirigido a organizaciones en la República Checa. La cadena de infección comienza con archivos LNK maliciosos que activan un cargador de PowerShell, el cual descomprime un archivo ZIP, evita las protecciones de AMSI y lanza la carga útil de PowMix directamente en la memoria. Una vez establecido, el malware mantiene persistencia a través de una tarea programada con un nombre hexadecimal aleatorio y utiliza un mutex global para controlar la ejecución. PowMix se comunica con su infraestructura de comando y control a través de rutas aleatorizadas tipo REST alojadas en herokuapp.com dominios y admite la ejecución de comandos remotos, cambios de configuración y autodestrucción.
Investigación
Talos examinó toda la cadena de entrega basada en LNK, el cargador de PowerShell y el propio bot PowMix, identificando similitudes notables con la campaña ZipLine anterior, incluyendo la ocultación de carga útil basada en ZIP y el uso de infraestructura alojada en Heroku para C2. Los investigadores documentaron el método de evasión de AMSI del malware, su lógica de generación de ID de bot estilo CRC32 y los intervalos de señalización diseñados con variaciones para reducir la detección. El equipo también extrajo indicadores clave, incluyendo el patrón de nomenclatura de tareas programadas, convenciones de mutex y cadenas clave XOR embebidas en el malware. La cobertura de detección se amplió aún más mediante la creación de firmas de ClamAV y Snort.
Mitigación
Las organizaciones deberían aplicar controles estrictos a la ejecución de archivos LNK y monitorear la actividad de PowerShell que crea tareas programadas o mutex globales. Las protecciones de AMSI deberían fortalecerse siempre que sea posible, y la ejecución de scripts debería gestionarse mediante requisitos de firma de código y políticas restrictivas. Los equipos de seguridad también deberían bloquear o inspeccionar cuidadosamente el tráfico saliente a dominios sospechosos herokuapp.com y revisar los registros de autenticación de proxy en busca de solicitudes inusuales similares a un navegador que puedan indicar actividad de PowMix. Las detecciones de punto final deben actualizarse para identificar los comandos específicos de PowerShell y comportamientos utilizados por el cargador.
Respuesta
Si se detecta actividad relacionada con PowMix, los defensores deben aislar el host afectado, terminar el proceso malicioso de PowerShell y eliminar la tarea programada junto con cualquier archivo asociado almacenado en ProgramData. La colección forense debería capturar toda la cadena de ejecución, incluidos los artefactos de línea de comandos, los valores de mutex y cualquier dato de configuración descargado. Las credenciales potencialmente expuestas deberían restablecerse, y los controles de proxy y firewall deberían actualizarse para bloquear los dominios de comando y control identificados. Los equipos de seguridad también deberían monitorear el tráfico de red en busca de comandos como #HOST and #KILL, notificar a las partes interesadas relevantes y actualizar el contenido de detección para reflejar los indicadores más recientes.
Flujo de Ataque
Detecciones
Posible archivo LNK malicioso con doble extensión (vía cmdline)
Ver
Posible ejecución por actividad de tarea programada con PowerShell (vía PowerShell)
Ver
Llamada a métodos .NET sospechosos desde PowerShell (vía PowerShell)
Ver
Llamada a funciones de API de Windows sospechosas desde PowerShell (vía PowerShell)
Ver
Comunicación sospechosa de dominio Herokuapp (vía proxy)
Ver
Comunicación sospechosa de dominio Herokuapp (vía DNS)
Ver
Detectar PowerShell Invoke-Expression y Construcción de Comandos Dinámicos [Windows PowerShell]
Ver
Detectar Intervalos de Beaconing C2 Aleatorios y Simulación de Llamadas API REST por Botnet PowMix [Conexión de Red de Windows]
Ver
Detectar Evasión AMSI del Botnet PowMix y Creación de Mutex [Windows Sysmon]
Ver
Ejecución del Cargador de PowerShell del Botnet PowMix [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Requisito previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un operador del botnet PowMix primero desactiva AMSI invocando una línea única de PowerShell que establece elamsiInitFailedbandera interna a$true. Inmediatamente después, el mismo proceso de PowerShell crea un mutex nombrado en el espacio de nombres global (GlobalBOT12345) para garantizar una única instancia en ejecución. Ambas acciones se realizan desde una sola línea de comandos para que los registros de Sysmon capturen las cadenas exactas que busca la regla. -
Script de Prueba de Regresión:
# Evasión AMSI similar a PowMix + creación de mutex global (activa la regla de detección) $botId = "BOT12345" # 1. Establecer la bandera de evasión de AMSI (la cadena literal aparece en la línea de comandos) # 2. Crear un mutex global nombrado "Global<BotID>" powershell.exe -NoProfile -Command ` "$amsiInitFailed = $true; ` $null = [System.Threading.Mutex]::new($true, 'Global$botId')" -
Comandos de Limpieza:
# No se escriben artefactos persistentes en el disco; solo existe un mutex en memoria. # Para asegurar que el mutex se libere, termine cualquier proceso de PowerShell que # haya iniciado la prueba y, opcionalmente, ejecute un breve script para abrir y cerrar. Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force