SOC Prime Bias: Medio

17 Apr 2026 17:34
newspaper icon Blog Cisco Talos

Il Botnet PowMix Prende di Mira la Forza Lavoro Ceca Utilizzando un Esca di un’Impresa Mediatica

Author Photo
SOC Prime Team linkedin icon Segui
Il Botnet PowMix Prende di Mira la Forza Lavoro Ceca Utilizzando un Esca di un’Impresa Mediatica
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riepilogo

Cisco Talos ha scoperto una botnet denominata PowMix, attiva almeno dal dicembre 2025 e mirata a organizzazioni nella Repubblica Ceca. La catena di infezione inizia con file LNK dannosi che attivano un loader PowerShell, il quale decomprime un archivio ZIP, aggira le protezioni AMSI e avvia il payload PowMix direttamente in memoria. Una volta stabilito, il malware mantiene la persistenza attraverso un’attività pianificata con un nome esadecimale casuale e utilizza un mutex globale per controllare l’esecuzione. PowMix comunica con la sua infrastruttura di comando e controllo tramite percorsi simili a REST randomizzati ospitati su herokuapp.com domini abusati e supporta l’esecuzione remota di comandi, modifiche alla configurazione e auto-rimozione.

Indagine

Talos ha esaminato l’intera catena di distribuzione basata su LNK, il loader PowerShell e il bot PowMix stesso, identificando notevoli somiglianze con la precedente campagna ZipLine, inclusi la dissimulazione del payload basata su ZIP e l’uso di infrastrutture ospitate su Heroku per il C2. I ricercatori hanno documentato il metodo di bypassare l’AMSI del malware, la logica di generazione degli ID bot in stile CRC32, e gli intervalli di beacon progettati con jitter per ridurre il rilevamento. Il team ha anche estratto indicatori chiave, incluso il modello di denominazione delle attività pianificate, le convenzioni del mutex e le stringhe chiave XOR codificate nel malware. La copertura del rilevamento è stata ulteriormente ampliata attraverso la creazione di firme ClamAV e Snort.

Mitigazione

Le organizzazioni dovrebbero applicare controlli rigorosi all’esecuzione dei file LNK e monitorare l’attività PowerShell che crea attività pianificate o mutex globali. Le protezioni AMSI dovrebbero essere rafforzate dove possibile, e l’esecuzione degli script dovrebbe essere regolata da requisiti di firma del codice e politiche restrittive. I team di sicurezza dovrebbero anche bloccare o ispezionare attentamente il traffico in uscita verso herokuapp.com domini sospetti e rivedere i log di autenticazione proxy per richieste simili a quelle dei browser che potrebbero indicare attività di PowMix. Le rilevazioni sugli endpoint dovrebbero essere aggiornate per identificare i comandi PowerShell specifici e i comportamenti utilizzati dal loader.

Risposta

Se viene rilevata un’attività correlata a PowMix, i difensori dovrebbero isolare l’host interessato, terminare il processo PowerShell dannoso e rimuovere l’attività pianificata insieme a eventuali file associati memorizzati sotto ProgramData. La raccolta forense dovrebbe catturare l’intera catena di esecuzione, inclusi artefatti della riga di comando, valori del mutex e eventuali dati di configurazione scaricati. Le credenziali potenzialmente esposte dovrebbero essere reimpostate, e i controlli proxy e firewall dovrebbero essere aggiornati per bloccare i domini di comando e controllo identificati. I team di sicurezza dovrebbero anche monitorare il traffico di rete per comandi quali #HOST and #KILL, notificare gli stakeholder pertinenti e aggiornare i contenuti di rilevamento per riflettere gli ultimi indicatori.

graph TB classDef action fill:#99ccff classDef technique fill:#ffff99 classDef process fill:#ffcc99 classDef malware fill:#ff9999 classDef artifact fill:#e0e0e0 classDef persistence fill:#b3ffb3 classDef c2 fill:#d9b3ff classDef command fill:#ffd9b3 attack_phishing[“<b>Azione</b> – T1566.001 Phishing: ZIP spearphishing<br/>Vittima riceve ZIP malevolo”] class attack_phishing action file_zip[“<b>Artefatto</b> – ZIP malevolo<br/>Contiene LNK”] class file_zip artifact file_lnk[“<b>Artefatto</b> – Shortcut malevolo (.lnk)<br/>T1027.012 LNK Icon Smuggling”] class file_lnk artifact process_powershell[“<b>Processo</b> – PowerShell loader<br/>T1059.001 esecuzione”] class process_powershell process tech_amsi_bypass[“<b>Tecnica</b> – AMSI bypass”] class tech_amsi_bypass technique tech_compression[“<b>Tecnica</b> – T1027.015 compressione”] class tech_compression technique tech_xor[“<b>Tecnica</b> – T1001 XOR offuscamento”] class tech_xor technique malware_powmix[“<b>Malware</b> – PowMix”] class malware_powmix malware tech_botid[“<b>Tecnica</b> – Generazione Bot ID”] class tech_botid technique persistence_task[“<b>Persistenza</b> – Task pianificato”] class persistence_task persistence tech_shortcut_mod[“<b>Tecnica</b> – T1547.009 modifica shortcut”] class tech_shortcut_mod technique tech_screensaver[“<b>Tecnica</b> – T1546.002 screensaver”] class tech_screensaver technique c2_communication[“<b>C2</b> – HTTPS GET”] class c2_communication c2 command_host[“<b>Comando</b> – #HOST”] class command_host command command_kill[“<b>Comando</b> – #KILL”] class command_kill command tech_indicator_removal[“<b>Tecnica</b> – T1027.005 rimozione indicatori”] class tech_indicator_removal technique tech_hide_artifacts[“<b>Tecnica</b> – T1564.011 occultamento artefatti”] class tech_hide_artifacts technique attack_phishing –>|consegna| file_zip file_zip –>|contiene| file_lnk file_lnk –>|esegue| process_powershell process_powershell –>|usa| tech_amsi_bypass process_powershell –>|usa| tech_compression process_powershell –>|usa| tech_xor process_powershell –>|carica| malware_powmix malware_powmix –>|genera| tech_botid malware_powmix –>|crea| persistence_task persistence_task –>|usa| tech_shortcut_mod persistence_task –>|programmato| tech_screensaver malware_powmix –>|comunica con| c2_communication c2_communication –>|invia| command_host c2_communication –>|invia| command_kill command_kill –>|applica| tech_indicator_removal command_kill –>|applica| tech_hide_artifacts

Flusso di Attacco

Esecuzione di Simulazione

Requisito: Il Controllo Preliminare di Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:
    Un operatore della botnet PowMix disabilità innanzitutto AMSI invocando un one-liner PowerShell che imposta il amsiInitFailed flag su $true. Immediatamente dopo, lo stesso processo PowerShell crea un mutex con nome nello spazio dei nomi globale (GlobalBOT12345) per garantire un’unica istanza in esecuzione. Entrambe le azioni sono eseguite da una singola riga di comando in modo che i log Sysmon catturino le esatte stringhe che la regola cerca.

  • Script di Test di Regressione:

    # bypass AMSI simile a PowMix + creazione mutex globale (attiva la regola di rilevamento)

$botId = "BOT12345"

# 1. Imposta il flag di bypass AMSI (la stringa letterale appare nella riga di comando)
# 2. Crea un mutex globale denominato "Global<BotID>"
powershell.exe -NoProfile -Command `
    "$amsiInitFailed = $true; `
     $null = [System.Threading.Mutex]::new($true, 'Global$botId')"

  • Comandi di Pulizia:

    # Nessun artefatto persistente è scritto su disco; solo un mutex in memoria esiste.
# Per garantire che il mutex sia rilasciato, terminare eventuali processi PowerShell rimanenti
# avviati dal test e opzionalmente eseguire un breve script per aprirlo e chiuderlo.

Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis