SOC Prime Bias: Moyen

17 Apr 2026 14:34 UTC

Le Botnet PowMix cible la main-d’œuvre tchèque via un appât de société médiatique

Author Photo
SOC Prime Team linkedin icon Suivre
Le Botnet PowMix cible la main-d’œuvre tchèque via un appât de société médiatique
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Cisco Talos a découvert un botnet suivi sous le nom de PowMix actif depuis au moins décembre 2025 et ciblant des organisations en République tchèque. La chaîne d’infection commence par des fichiers LNK malveillants qui déclenchent un chargeur PowerShell, qui décompresse une archive ZIP, contourne les protections AMSI, et lance la charge utile PowMix directement en mémoire. Une fois établi, le malware maintient une persistance par le biais d’une tâche planifiée avec un nom hexadécimal aléatoire et utilise un mutex global pour contrôler l’exécution. PowMix communique avec son infrastructure de commande et de contrôle via des chemins aléatoires de type REST hébergés sur des domaines herokuapp.com abusés et prend en charge l’exécution de commandes à distance, les modifications de configuration, et l’auto-suppression.

Enquête

Talos a examiné la chaîne complète de livraison basée sur LNK, le chargeur PowerShell, et le bot PowMix lui-même, identifiant des similitudes notables avec la campagne précédente ZipLine, y compris l’occultation des charges utiles basées sur ZIP et l’utilisation de l’infrastructure hébergée sur Heroku pour le C2. Les chercheurs ont documenté la méthode de contournement AMSI du malware, sa logique de génération d’identifiant bot de type CRC32, et les intervalles de signalisation conçus avec du jitter pour réduire la détection. L’équipe a également extrait des indicateurs clés, y compris le modèle de nommage des tâches planifiées, les conventions de mutex, et les chaînes de clés XOR codées en dur intégrées dans le malware. La couverture de détection a été encore élargie par la création de signatures ClamAV et Snort.

Atténuation

Les organisations devraient appliquer des contrôles stricts à l’exécution des fichiers LNK et surveiller les activités de PowerShell créant des tâches planifiées ou des mutex globaux. Les protections AMSI devraient être renforcées autant que possible, et l’exécution des scripts devrait être régie par des exigences de signature de code et des politiques restrictives. Les équipes de sécurité devraient également bloquer ou inspecter de près le trafic sortant vers les domaines herokuapp.com domaines suspects et examiner les journaux d’authentification de proxy pour les demandes inhabituelles de type navigateur qui pourraient indiquer une activité PowMix. Les détections de point de terminaison devraient être mises à jour pour identifier les commandes et comportements PowerShell spécifiques utilisés par le chargeur.

Réponse

Si une activité liée à PowMix est détectée, les défenseurs devraient isoler l’hôte affecté, terminer le processus PowerShell malveillant, et supprimer la tâche planifiée ainsi que tous les fichiers associés stockés sous ProgramData. La collecte légale doit capturer la chaîne d’exécution complète, y compris les artefacts en ligne de commande, les valeurs de mutex, et toute donnée de configuration téléchargée. Les identifiants potentiellement exposés devraient être réinitialisés, et les contrôles de proxy et de pare-feu devraient être mis à jour pour bloquer les domaines de commande et de contrôle identifiés. Les équipes de sécurité devraient également surveiller le trafic réseau pour des commandes telles que #HOST and #KILL, notifier les parties prenantes concernées, et mettre à jour le contenu des détections pour refléter les derniers indicateurs.

Flux du Attaque

Exécution de la simulation

Prérequis : Le contrôle préalable à l’envol de la télémétrie et du baseline doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif d’attaque et commandes :
    Un opérateur du botnet PowMix désactive d’abord l’AMSI en invoquant une ligne de commande PowerShell qui définit le drapeau interne amsiInitFailed à $true. Immédiatement après, le même processus PowerShell crée un mutex nommé dans l’espace de noms global (GlobalBOT12345) pour garantir une instance d’exécution unique. Les deux actions sont effectuées à partir d’une seule ligne de commande pour que les journaux Sysmon capturent les chaînes exactes que la règle recherche.

  • Script de test de régression :

    # Contournement de l'AMSI de type PowMix + création de mutex global (déclenche la règle de détection)
    
    $botId = "BOT12345"
    
    # 1. Définir le drapeau de contournement AMSI (la chaîne littérale apparaît dans la ligne de commande)
    # 2. Créer un mutex global nommé "Global<BotID>"
    powershell.exe -NoProfile -Command `
        "$amsiInitFailed = $true; `
         $null = [System.Threading.Mutex]::new($true, 'Global$botId')"
  • Commandes de nettoyage :

    # Aucun artefact persistant n'est écrit sur le disque; seul un mutex en mémoire existe.
    # Pour s'assurer que le mutex est libéré, terminez tous les processus PowerShell persistants
    # lancés par le test et, éventuellement, exécutez un bref script pour l'ouvrir et le fermer.
    
    Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force