Der neu identifizierte PowMix-Botnet zählt zu den fortgeschrittensten Bedrohungen, die in den letzten Monaten entdeckt wurden. Cisco-Talos-Forscher Chetan Raghuprasad beschreibt in seinem Bericht die innovativen Evasionsmethoden des Schädlings: “PowMix nutzt randomisierte Command-and-Control-Beacons statt permanenter Serververbindungen, um Netzwerk-Signaturen zu umgehen.”
Die Arbeitsweise des Botnetzes ist bemerkenswert durchdacht. PowMix versteckt verschlüsselte Heartbeat-Daten sowie eindeutige Kennung des infiziertem Systems in C2-URL-Pfaden und tarnt sich dabei als legitime REST-API-Anfragen. Das System ermöglicht auch dynamische Aktualisierungen der C2-Domänen, was die Wartung und Kontrolle des Botnets vereinfacht.
Die Infektionskette beginnt mit einer manipulierten ZIP-Datei, vermutlich verbreitet über Phishing-Mails. Ein Windows-Shortcut (LNK) startet einen PowerShell-Loader, der das verschlüsselte Schadprogramm aus dem Archiv extrahiert und im RAM ausführt. Dadurch werden Festplattenspuren minimiert. Das Botnet etabliert Persistenz durch geplante Windows-Aufgaben und überprüft die Prozesshierarchie, um Mehrfachinfektionen zu vermeiden.
Besonders raffiniert ist die Ablenkungstaktik: Während PowMix agiert, öffnet es Lockvogel-Dokumente mit Compliance-Themen. Die Dokumenten-Templates referenzieren bekannte Marken wie Edeka und enthalten authentisch wirkende Entschädigungsdaten sowie gültige Gesetzereferenzen – ein klassischer Social-Engineering-Trick für Jobsuchende.
Forscher haben Übereinstimmungen mit der ZipLine-Kampagne entdeckt, die Check Point im August 2025 dokumentierte. Beide Kampagnen verwenden ZIP-basierte Nutzlast-Lieferung, geplante Task-Persistenz und missbrauchen Heroku als C2-Infrastruktur. Die genauen Absichten bleiben rätselhaft, da keine zusätzlichen Payloads neben dem Botnet selbst beobachtet wurden.
Zum Evasionsverfahren: PowMix variiert seine Beacons-Intervalle zunächst zwischen 0 und 261 Sekunden, später zwischen 1.075 und 1.450 Sekunden. Dies wird durch PowerShells Get-Random-Befehl erreicht und soll vorhersehbare Netzwerk-Signaturen verhindern.
Parallel zu PowMix beschreiben Sicherheitsforscher auch Entwicklungen beim RondoDox-Botnet, das über 170 bekannte Schwachstellen in internet-sichtbaren Anwendungen ausnutzt. RondoDox kombiniert DDoS-Funktionen mit heimlichem Kryptomining mittels XMRig und zeigt aggressive Konkurrenzentfernung. Solche Botnets werden kontinuierlich weiterentwickelt mit verbesserter Evasion, höherer Ausfallsicherheit und erweitertem Funktionsumfang.