Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Cisco Talos descobriu um botnet rastreado como PowMix que tem estado ativo desde pelo menos dezembro de 2025 e é direcionado a organizações na República Tcheca. A cadeia de infecção começa com arquivos LNK maliciosos que acionam um carregador PowerShell, que descompacta um arquivo ZIP, contorna as proteções AMSI e lança o payload PowMix diretamente na memória. Uma vez estabelecido, o malware mantém a persistência através de uma tarefa agendada com um nome hexadecimal aleatório e usa um mutex global para controlar a execução. PowMix se comunica com sua infraestrutura de comando e controle através de caminhos aleatórios do tipo REST hospedados em abusados domínios herokuapp.com e suporta execução remota de comandos, alterações de configuração e auto-remover.
Investigação
Talos examinou toda a cadeia de entrega baseada em LNK, o carregador PowerShell e o próprio bot PowMix, identificando notáveis similaridades com a campanha ZipLine anterior, incluindo ocultação de payload baseado em ZIP e o uso de infraestrutura hospedada na Heroku para C2. Pesquisadores documentaram o método de desvio AMSI do malware, sua lógica de geração de ID de bot estilo CRC32 e os intervalos de sinalização projetados com jitter para reduzir a detecção. A equipe também extraiu indicadores chave, incluindo o padrão de nomeação de tarefa agendada, convenções de mutex e strings de chaves XOR embutidas no malware. A cobertura de detecção foi ainda expandida através da criação de assinaturas ClamAV e Snort.
Mitigação
As organizações devem aplicar controles rigorosos à execução de arquivos LNK e monitorar atividades do PowerShell que criam tarefas agendadas ou mutexes globais. As proteções AMSI devem ser fortalecidas sempre que possível, e a execução de scripts deve ser governada por requisitos de assinatura de código e políticas restritivas. As equipes de segurança também devem bloquear ou inspecionar atentamente o tráfego de saída para domínios herokuapp.com domínios suspeitos e revisar logs de autenticação de proxy para solicitações incomuns do tipo navegador que possam indicar atividade do PowMix. As detecções no endpoint devem ser atualizadas para identificar os comandos e comportamentos específicos do PowerShell usados pelo carregador.
Resposta
Se a atividade relacionada ao PowMix for detectada, os defensores devem isolar o host afetado, terminar o processo malicioso do PowerShell e remover a tarefa agendada junto com qualquer arquivo associado armazenado em ProgramData. A coleta forense deve capturar toda a cadeia de execução, incluindo artefatos de linha de comando, valores de mutex e qualquer dado de configuração baixado. As credenciais potencialmente expostas devem ser redefinidas, e os controles de proxy e firewall devem ser atualizados para bloquear os domínios de comando e controle identificados. As equipes de segurança também devem monitorar o tráfego de rede para comandos como #HOST and #KILL, notificar as partes interessadas relevantes e atualizar o conteúdo de detecção para refletir os últimos indicadores.
graph TB classDef action fill:#99ccff classDef technique fill:#ffff99 classDef process fill:#ffcc99 classDef malware fill:#ff9999 classDef artifact fill:#e0e0e0 classDef persistence fill:#b3ffb3 classDef c2 fill:#d9b3ff classDef command fill:#ffd9b3 attack_phishing[“<b>Ação</b> – T1566.001 Phishing: anexo spearphishing<br/>Vítima recebe ZIP malicioso”] class attack_phishing action file_zip[“<b>Artefacto</b> – ZIP malicioso<br/>Contém LNK”] class file_zip artifact file_lnk[“<b>Artefacto</b> – Atalho malicioso (.lnk)<br/>T1027.012 LNK Icon Smuggling”] class file_lnk artifact process_powershell[“<b>Processo</b> – PowerShell loader<br/>T1059.001 execução PowerShell”] class process_powershell process tech_amsi_bypass[“<b>Técnica</b> – AMSI bypass”] class tech_amsi_bypass technique tech_compression[“<b>Técnica</b> – T1027.015 Compressão”] class tech_compression technique tech_xor[“<b>Técnica</b> – T1001 XOR obfuscation”] class tech_xor technique malware_powmix[“<b>Malware</b> – PowMix”] class malware_powmix malware tech_botid[“<b>Técnica</b> – Bot ID”] class tech_botid technique persistence_task[“<b>Persistência</b> – Scheduled Task”] class persistence_task persistence tech_shortcut_mod[“<b>Técnica</b> – T1547.009 Shortcut”] class tech_shortcut_mod technique tech_screensaver[“<b>Técnica</b> – T1546.002 Screensaver”] class tech_screensaver technique c2_communication[“<b>C2</b> – HTTPS GET”] class c2_communication c2 command_host[“<b>Comando</b> – #HOST”] class command_host command command_kill[“<b>Comando</b> – #KILL”] class command_kill command tech_indicator_removal[“<b>Técnica</b> – T1027.005 Remoção de indicadores”] class tech_indicator_removal technique tech_hide_artifacts[“<b>Técnica</b> – T1564.011 Ocultar artefactos”] class tech_hide_artifacts technique attack_phishing –>|entrega| file_zip file_zip –>|contém| file_lnk file_lnk –>|executa| process_powershell process_powershell –>|usa| tech_amsi_bypass process_powershell –>|usa| tech_compression process_powershell –>|usa| tech_xor process_powershell –>|carrega| malware_powmix malware_powmix –>|executa| tech_botid malware_powmix –>|cria| persistence_task persistence_task –>|usa| tech_shortcut_mod persistence_task –>|agendado em| tech_screensaver malware_powmix –>|comunica com| c2_communication c2_communication –>|envia| command_host c2_communication –>|envia| command_kill command_kill –>|aplica| tech_indicator_removal command_kill –>|aplica| tech_hide_artifacts
Fluxo de Ataque
Detecções
Arquivo LNK Malicioso Possível com Extensão Dupla (via cmdline)
Visualizar
Execução Possível por Atividade de Tarefa Agendada com PowerShell (via powershell)
Visualizar
Chamada de Métodos .NET Suspeitos do Powershell (via powershell)
Visualizar
Chamada de Funções de API do Windows Suspeitas do Powershell (via powershell)
Visualizar
Comunicação de Domínio Herokuapp Suspeita (via proxy)
Visualizar
Comunicação de Domínio Herokuapp Suspeita (via dns)
Visualizar
Detectar Invoke-Expression do PowerShell e Construção Dinâmica de Comandos [Windows PowerShell]
Visualizar
Detectar Intervalos de Sinalização C2 Aleatórios e Imitação de Chamadas de API REST pelo Botnet PowMix [Conexão de Rede Windows]
Visualizar
Detectar Bypass AMSI do Botnet PowMix e Criação de Mutex [Windows Sysmon]
Visualizar
Execução de Carregador PowerShell do Botnet PowMix [Criação de Processo Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-Voo de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e ter como objetivo gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um operador do botnet PowMix primeiro desativa o AMSI invocando um comando único do PowerShell que define a seguinteamsiInitFailedflag para$true. Imediatamente após, o mesmo processo PowerShell cria um mutex nomeado no namespace global (GlobalBOT12345) para garantir uma única instância em execução. Ambas as ações são executadas de uma única linha de comando para que os logs do Sysmon capturem as strings exatas que a regra procura. -
Script de Teste de Regressão:
# Bypass AMSI semelhante ao PowMix + criação de mutex global (dispara a regra de detecção) $botId = "BOT12345" # 1. Define o flag de bypass AMSI (a string literal aparece na linha de comando) # 2. Cria um mutex global nomeado "Global<BotID>" powershell.exe -NoProfile -Command ` "$amsiInitFailed = $true; ` $null = [System.Threading.Mutex]::new($true, 'Global$botId')" -
Comandos de Limpeza:
# Nenhum artefato persistente é escrito no disco; apenas um mutex em memória existe. # Para garantir que o mutex seja liberado, termine quaisquer processos PowerShell # remanescentes iniciados pelo teste e opcionalmente execute um pequeno script para abrir e fechar o mesmo. Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force