Die Angriffskette läuft mehrstufig ab: In der ZIP-Datei steckt eine Windows-Verknüpfung (LNK), die einen PowerShell-Loader startet. Dieser extrahiert die im Archiv eingebettete Schadsoftware, entschlüsselt sie und führt sie direkt im Arbeitsspeicher aus. PowMix selbst ist auf Fernzugriff, Aufklärung und das Nachladen von Code ausgelegt und richtet sich über eine geplante Aufgabe (Scheduled Task) dauerhaft im System ein. Dabei prüft die Malware den Prozessbaum, um sicherzustellen, dass nicht bereits eine zweite Instanz auf dem kompromittierten Rechner läuft.

Die Fernsteuerung kennt zwei Arten von Befehlen, die vom C2-Server kommen. Jede Antwort ohne vorangestelltes #-Zeichen versetzt PowMix in einen Modus zur beliebigen Ausführung, in dem die empfangene Nutzlast entschlüsselt und gestartet wird.

Parallel öffnet die Schadsoftware ein Köderdokument mit Compliance-Bezug als Ablenkung. Diese Lockdokumente verweisen auf bekannte Marken wie Edeka und enthalten Angaben zu Vergütungen sowie gültige Gesetzesverweise – offenbar, um glaubwürdiger zu wirken und Empfänger wie Bewerber zu täuschen.

Zur Verschleierung des Datenverkehrs setzt PowMix auf den PowerShell-Befehl Get-Random, mit dem es die Beaconing-Intervalle variiert: zunächst zwischen 0 und 261 Sekunden, später zwischen 1.075 und 1.450 Sekunden. So sollen vorhersehbare Netzwerksignaturen vermieden werden.

Nach Einschätzung von Talos überschneidet sich die Kampagne in Teilen mit einer von Check Point Ende August 2025 offengelegten Aktion namens ZipLine, die auf Fertigungsunternehmen mit kritischer Bedeutung für Lieferketten zielte und die speicherbasierte Malware MixShell einsetzte. Gemeinsam sind unter anderem die ZIP-basierte Auslieferung, die Persistenz über geplante Aufgaben und der Missbrauch von Heroku für die C2-Kommunikation.

Zeitgleich beleuchtet Bitsight die Infektionskette des Botnets RondoDox. Laut dem Principal Research Scientist João Godinho hat die Malware zusätzlich zu ihrer bestehenden DDoS-Funktion die Fähigkeit erlangt, mit XMRig auf infizierten Systemen heimlich Kryptowährung zu schürfen. RondoDox kann nach Bitsight-Angaben über 170 bekannte Schwachstellen in verschiedenen aus dem Internet erreichbaren Anwendungen ausnutzen, um sich Erstzugang zu verschaffen. Anschließend wird ein Shell-Skript abgelegt, das einfache Anti-Analyse-Maßnahmen ausführt und konkurrierende Malware entfernt, bevor die passende Botnet-Binärdatei für die jeweilige Architektur nachgeladen wird.

Zur Abwehr von Analysen setzt RondoDox laut Godinho auf Techniken wie Nanomites, das Umbenennen und Löschen von Dateien, das Beenden von Prozessen und eine aktive Suche nach Debuggern während der Ausführung. Die Schadsoftware kann den Angaben zufolge DoS-Angriffe auf Internet-, Transport- und Anwendungsebene ausführen, abhängig von den Befehlen und Parametern des C2-Servers.