Le Botnet PowMix cible la main-d’œuvre tchèque via un appât de société médiatique

SOC Prime Team

Suivre

Le Botnet PowMix cible la main-d’œuvre tchèque via un appât de société médiatique

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Cisco Talos a découvert un botnet suivi sous le nom de PowMix actif depuis au moins décembre 2025 et ciblant des organisations en République tchèque. La chaîne d’infection commence par des fichiers LNK malveillants qui déclenchent un chargeur PowerShell, qui décompresse une archive ZIP, contourne les protections AMSI, et lance la charge utile PowMix directement en mémoire. Une fois établi, le malware maintient une persistance par le biais d’une tâche planifiée avec un nom hexadécimal aléatoire et utilise un mutex global pour contrôler l’exécution. PowMix communique avec son infrastructure de commande et de contrôle via des chemins aléatoires de type REST hébergés sur des domaines herokuapp.com abusés et prend en charge l’exécution de commandes à distance, les modifications de configuration, et l’auto-suppression.

Enquête

Talos a examiné la chaîne complète de livraison basée sur LNK, le chargeur PowerShell, et le bot PowMix lui-même, identifiant des similitudes notables avec la campagne précédente ZipLine, y compris l’occultation des charges utiles basées sur ZIP et l’utilisation de l’infrastructure hébergée sur Heroku pour le C2. Les chercheurs ont documenté la méthode de contournement AMSI du malware, sa logique de génération d’identifiant bot de type CRC32, et les intervalles de signalisation conçus avec du jitter pour réduire la détection. L’équipe a également extrait des indicateurs clés, y compris le modèle de nommage des tâches planifiées, les conventions de mutex, et les chaînes de clés XOR codées en dur intégrées dans le malware. La couverture de détection a été encore élargie par la création de signatures ClamAV et Snort.

Atténuation

Les organisations devraient appliquer des contrôles stricts à l’exécution des fichiers LNK et surveiller les activités de PowerShell créant des tâches planifiées ou des mutex globaux. Les protections AMSI devraient être renforcées autant que possible, et l’exécution des scripts devrait être régie par des exigences de signature de code et des politiques restrictives. Les équipes de sécurité devraient également bloquer ou inspecter de près le trafic sortant vers les domaines herokuapp.com domaines suspects et examiner les journaux d’authentification de proxy pour les demandes inhabituelles de type navigateur qui pourraient indiquer une activité PowMix. Les détections de point de terminaison devraient être mises à jour pour identifier les commandes et comportements PowerShell spécifiques utilisés par le chargeur.

Réponse

Si une activité liée à PowMix est détectée, les défenseurs devraient isoler l’hôte affecté, terminer le processus PowerShell malveillant, et supprimer la tâche planifiée ainsi que tous les fichiers associés stockés sous ProgramData. La collecte légale doit capturer la chaîne d’exécution complète, y compris les artefacts en ligne de commande, les valeurs de mutex, et toute donnée de configuration téléchargée. Les identifiants potentiellement exposés devraient être réinitialisés, et les contrôles de proxy et de pare-feu devraient être mis à jour pour bloquer les domaines de commande et de contrôle identifiés. Les équipes de sécurité devraient également surveiller le trafic réseau pour des commandes telles que #HOST and #KILL, notifier les parties prenantes concernées, et mettre à jour le contenu des détections pour refléter les derniers indicateurs.

graph TB classDef action fill:#99ccff classDef technique fill:#ffff99 classDef process fill:#ffcc99 classDef malware fill:#ff9999 classDef artifact fill:#e0e0e0 classDef persistence fill:#b3ffb3 classDef c2 fill:#d9b3ff classDef command fill:#ffd9b3 attack_phishing[« Action – T1566.001 Phishing: ZIP spearphishing Victime reçoit un ZIP malveillant »] class attack_phishing action file_zip[« Artefact – ZIP malveillant Contient LNK »] class file_zip artifact file_lnk[« Artefact – Raccourci malveillant (.lnk) T1027.012 LNK Icon Smuggling »] class file_lnk artifact process_powershell[« Processus – PowerShell loader T1059.001 exécution »] class process_powershell process tech_amsi_bypass[« Technique – AMSI bypass »] class tech_amsi_bypass technique tech_compression[« Technique – T1027.015 compression »] class tech_compression technique tech_xor[« Technique – T1001 obfuscation XOR »] class tech_xor technique malware_powmix[« Malware – PowMix »] class malware_powmix malware tech_botid[« Technique – génération Bot ID »] class tech_botid technique persistence_task[« Persistance – tâche planifiée »] class persistence_task persistence tech_shortcut_mod[« Technique – T1547.009 modification raccourci »] class tech_shortcut_mod technique tech_screensaver[« Technique – T1546.002 écran de veille »] class tech_screensaver technique c2_communication[« C2 – HTTPS GET »] class c2_communication c2 command_host[« Commande – #HOST »] class command_host command command_kill[« Commande – #KILL »] class command_kill command tech_indicator_removal[« Technique – T1027.005 suppression d’indicateurs »] class tech_indicator_removal technique tech_hide_artifacts[« Technique – T1564.011 dissimulation d’artefacts »] class tech_hide_artifacts technique attack_phishing –>|livre| file_zip file_zip –>|contient| file_lnk file_lnk –>|exécute| process_powershell process_powershell –>|utilise| tech_amsi_bypass process_powershell –>|utilise| tech_compression process_powershell –>|utilise| tech_xor process_powershell –>|charge| malware_powmix malware_powmix –>|génère| tech_botid malware_powmix –>|crée| persistence_task persistence_task –>|utilise| tech_shortcut_mod persistence_task –>|planifié| tech_screensaver malware_powmix –>|communique avec| c2_communication c2_communication –>|envoie| command_host c2_communication –>|envoie| command_kill command_kill –>|applique| tech_indicator_removal command_kill –>|applique| tech_hide_artifacts

Flux du Attaque

Narratif d’attaque et commandes :
Un opérateur du botnet PowMix désactive d’abord l’AMSI en invoquant une ligne de commande PowerShell qui définit le drapeau interne amsiInitFailed à $true. Immédiatement après, le même processus PowerShell crée un mutex nommé dans l’espace de noms global (GlobalBOT12345) pour garantir une instance d’exécution unique. Les deux actions sont effectuées à partir d’une seule ligne de commande pour que les journaux Sysmon capturent les chaînes exactes que la règle recherche.

Script de test de régression :

# Contournement de l'AMSI de type PowMix + création de mutex global (déclenche la règle de détection)

$botId = "BOT12345"

# 1. Définir le drapeau de contournement AMSI (la chaîne littérale apparaît dans la ligne de commande)
# 2. Créer un mutex global nommé "Global<BotID>"
powershell.exe -NoProfile -Command `
    "$amsiInitFailed = $true; `
     $null = [System.Threading.Mutex]::new($true, 'Global$botId')"

Commandes de nettoyage :

# Aucun artefact persistant n'est écrit sur le disque; seul un mutex en mémoire existe.
# Pour s'assurer que le mutex est libéré, terminez tous les processus PowerShell persistants
# lancés par le test et, éventuellement, exécutez un bref script pour l'ouvrir et le fermer.

Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement