Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Botnetze PowMix Botnet

PowMix Botnet

Von Mezo in Botnetze
Übersetzen Sie in:

Cybersicherheitsforscher haben eine seit mindestens Dezember 2025 laufende, bösartige Kampagne identifiziert, die es auf die Arbeitskräfte in der Tschechischen Republik abgesehen hat. Im Zentrum dieser Operation steht ein bisher unbekanntes Botnetz namens PowMix. Diese Bedrohung ist so konzipiert, dass sie herkömmliche Erkennungsmechanismen umgeht, indem sie dauerhafte Verbindungen zu ihrer Kommando- und Kontrollinfrastruktur (C2) vermeidet und stattdessen auf zufällige Kommunikationsmuster setzt.

Tarnkommunikation: Fortgeschrittene C2-Umgehungstechniken

PowMix nutzt ausgeklügelte Methoden, um in Netzwerkumgebungen unentdeckt zu bleiben. Anstatt permanenten Kontakt zu seinen C2-Servern aufrechtzuerhalten, verwendet es zufällige Beacon-Intervalle, die über PowerShell-Befehle generiert werden. Diese Intervalle liegen anfänglich zwischen 0 und 261 Sekunden und verlängern sich später auf 1075 bis 1450 Sekunden, wodurch vorhersehbare Netzwerkverkehrsmuster effektiv gestört werden.

Darüber hinaus bettet das Botnetz verschlüsselte Heartbeat-Daten und eindeutige Opferidentifikatoren direkt in die C2-URL-Pfade ein und imitiert so legitimen REST-API-Verkehr. Dadurch kann sich die Schadsoftware nahtlos in die normale Netzwerkkommunikation einfügen. Das Botnetz ist außerdem in der Lage, seine C2-Domäne dynamisch über seine Konfigurationsdatei zu aktualisieren und so die Betriebskontinuität auch bei Infrastrukturänderungen zu gewährleisten.

Infektionskette: Mehrstufige Bereitstellungsstrategie

Der Angriff beginnt mit einem schädlichen ZIP-Archiv, das typischerweise über Phishing-E-Mails verbreitet wird. Nach dem Öffnen löst das Archiv einen sorgfältig orchestrierten, mehrstufigen Infektionsprozess aus:

  • Eine Windows-Verknüpfungsdatei (LNK-Datei) initiiert die Ausführung
  • Ein PowerShell-Loader extrahiert und entschlüsselt die eingebettete Nutzlast.
  • Die Schadsoftware wird direkt im Arbeitsspeicher ausgeführt, wodurch Festplattenfehler minimiert werden.

Dieser dateilose Ausführungsansatz verringert die Wahrscheinlichkeit der Entdeckung durch herkömmliche Sicherheitswerkzeuge erheblich.

Fähigkeiten und Persistenzmechanismen

PowMix ist als vielseitiges Fernzugriffstool konzipiert, das Angreifern ermöglicht, Aufklärung zu betreiben, beliebigen Code auszuführen und die langfristige Kontrolle über kompromittierte Systeme zu behalten. Die Persistenz wird durch die Erstellung geplanter Aufgaben erreicht, wodurch sichergestellt wird, dass die Schadsoftware auch nach Systemneustarts aktiv bleibt.

Um die Betriebsstabilität zu gewährleisten, überprüft die Malware den Prozessbaum, um zu verhindern, dass mehrere Instanzen gleichzeitig auf demselben Host ausgeführt werden.

Befehlsausführungs-Framework: Flexible Steuerungsarchitektur

Das Botnetz unterstützt zwei Hauptkategorien von Befehlen, die vom C2-Server ausgegeben werden. Sein Verhalten wird durch das Format der Serverantwort bestimmt:

Befehle ohne das Präfix '#' lösen den beliebigen Ausführungsmodus aus und veranlassen die Malware, empfangene Nutzdaten zu entschlüsseln und auszuführen.

Zu den Spezialbefehlen gehören:

#KILL: Leitet die Selbstlöschung ein und entfernt alle Spuren schädlicher Aktivitäten.

#HOST: Aktualisiert die C2-Serveradresse des Botnetzes für die fortgesetzte Kommunikation

Diese flexible Befehlsstruktur ermöglicht es den Bedienern, das Verhalten der Malware in Echtzeit anzupassen.

Social-Engineering-Ebene: Köderdokumente als Ablenkung

Um die Kampagne noch effektiver zu gestalten, werden Social-Engineering-Taktiken eingesetzt. Opfern werden gefälschte Dokumente präsentiert, die Compliance-Themen aufgreifen und legitim erscheinen sollen. Diese Dokumente verweisen auf bekannte Marken wie Edeka und enthalten neben legitimen Gesetzesverweisen auch Angaben zu Vergütungen. Solche Elemente sollen Vertrauen schaffen und die Zielpersonen, insbesondere Jobsuchende, dazu verleiten, sich mit den schädlichen Inhalten auseinanderzusetzen.

Taktische Überschneidung: Verbindungen zur ZipLine-Kampagne

Die Analyse zeigt Ähnlichkeiten zwischen PowMix und einer zuvor aufgedeckten Kampagne namens ZipLine, die im August 2025 kritische Produktionssektoren ins Visier nahm. Zu den gemeinsamen Taktiken gehören die Zustellung von Nutzdaten über ZIP-Dateien, die Aufrechterhaltung des Netzwerks durch geplante Aufgaben und die Nutzung der Heroku-Infrastruktur für C2-Operationen.

Trotz dieser Überschneidungen wurden keine weiteren Schadprogramme jenseits des PowMix-Botnetzes selbst entdeckt. Dies lässt die letztendlichen Ziele der Kampagne im Unklaren und deutet darauf hin, dass zukünftig weitere Entwicklungen oder zusätzliche Schadprogramme auftauchen könnten.

Im Trend

Am häufigsten gesehen

Wird geladen...