Новая бот-сеть PowMix атакует Чехию, маскируясь под легитимные документы и REST API

Кампания представляет особый интерес для специалистов по кибербезопасности в регионе Центральной и Восточной Европы, а также для компаний, чья работа связана с обработкой персональных данных. Атакующие используют социальную инженерию высокого уровня, что повышает риск успешного заражения даже бдительных сотрудников. Внимание к подобным угрозам критически важно для отделов кадров, юридических служб и рекрутинговых агентств, которые стали основной мишенью злоумышленников.

Жертвы и приманка: мимикрия под закон и бизнес

Атака начинается с фишингового письма, содержащего ZIP-архив с вредоносным ярлыком Windows (LNK-файлом). Для повышения доверия жертв злоумышленники создали тщательно проработанные документы-приманки. Они имитируют бренд немецкой розничной сети EDEKA, что может ввести в заблуждение сотрудников логистических и торговых компаний. Более того, в документах содержатся ссылки на реальные правовые акты, в частности, на чешский Закон о защите данных, что придаёт сообщению видимость официального запроса о соблюдении нормативных требований (compliance).

В материалах также фигурируют данные о компенсациях, что нацелено на соискателей вакансий в сферах IT, финансов и логистики. Такой подход позволяет атаке пересекать границы между корпоративными отделами, угрожая как юридическим и HR-службам, получающим "проверочные" документы, так и рядовым сотрудникам, заинтересованным в новой работе. Подобная тактика демонстрирует глубокое понимание атакующими бизнес-процессов и психологических триггеров.

Техническое исполнение: от PowerShell до скрытого ботнета

Запуск LNK-файла инициирует сложную цепочку заражения. Первым этапом является PowerShell-скрипт-загрузчик, который копирует содержимое архива в системную папку ProgramData. Ключевым элементом его работы является обход AMSI (Antimalware Scan Interface) - интерфейса сканирования на вредоносное ПО в Windows. Скрипт с помощью рефлексии находит в памяти класс "AmsiUtils" и принудительно устанавливает для его поля "amsiInitFailed" значение "true". Это заставляет защитные механизмы поверить, что AMSI не инициализирован, и отключает сканирование последующих действий в реальном времени, что позволяет беспрепятственно выполнять вредоносный код прямо в памяти.

Далее загрузчик извлекает из данных ZIP-архива вторую, скрытую и зашифрованную стадию - непосредственно ботнет PowMix. Исполнение происходит в памяти с помощью команды "Invoke-Expression", что минимизирует следы на диске. Исследователи Cisco Talos обнаружили, что финальная полезная нагрузка в этой кампании осталась нераскрытой, а истинные намерения злоумышленников неизвестны, что добавляет ей опасности.

Анатомия ботнета PowMix: скрытность и управление

После выполнения PowMix проводит рекогносцировку, скрывает окно консоли и расшифровывает домен командного сервера (C2) и файл конфигурации с помощью алгоритма XOR на заранее заданных ключах. Для создания уникального идентификатора бота (Bot ID) используется checksum-функция типа CRC32, которая обрабатывает ID продукта Windows и данные конфигурации. Этот же ID участвует в генерации имени задачи в Планировщике заданий Windows для обеспечения закрепления в системе (persistence). Задача маскируется под случайную шестнадцатеричную строку и настроена на ежедневный запуск, который перезапускает всю цепочку заражения через легитимный процесс "explorer.exe".

Одной из отличительных черт PowMix является механизм связи с C2. Вместо постоянного соединения ботнет использует "маячки" (beaconing) со случайным интервалом, который варьируется от нескольких секунд до почти 25 минут. Это помогает избежать обнаружения по сетевым сигнатурам, ищущим регулярную подозрительную активность. Данные для связи (зашифрованный "пульс", Bot ID, временная метка) встраиваются прямо в путь URL-адреса, что делает HTTP-запросы похожими на легитимные вызовы REST API. Для полной маскировки трафик использует заголовки веб-браузера Chrome и автоматически применяет настройки прокси-сервера жертвы.

Функционал и связь с прошлыми угрозами

PowMix предоставляет операторам расширенный контроль над заражённой системой. Ботнет способен выполнять произвольные команды, а также имеет встроенные инструкции для самоуничтожения ("#KILL") и критически важную функцию динамического обновления C2-инфраструктуры ("#HOST"). Последняя позволяет удалённо изменить домен командного сервера в конфигурационном файле, что является эффективным методом уклонения от чёрных списков (blacklisting) и блокировок.

Исследователи отмечают тактические совпадения с кампанией ZipLine, о которой в августе 2025 года сообщала Check Point. Сходства включают способ доставки полезной нагрузки через ZIP-архив, механизм обеспечения устойчивости через Планировщик заданий, алгоритм генерации Bot ID и, что наиболее показательно, злоупотребление легитимной облачной платформой Heroku (через поддомены "herokuapp.com") для размещения C2-серверов. Эти параллели могут указывать на одного и того же актора или на заимствование успешных техник другой группой.

Выводы для специалистов по безопасности

Появление PowMix подчёркивает растущую изощрённость угроз, нацеленных на конкретные страны и секторы экономики. Кампания сочетает в себе целенаправленную социальную инженерию с технически продвинутыми методами обхода защиты, такими как работа исключительно в памяти, обход AMSI и маскировка сетевого трафика. Организациям, особенно в Чехии и соседних странах, следует усилить vigilance в отношении фишинговых писем с архивами, даже если они выглядят абсолютно легитимными и содержат знакомые бренды или правовые отсылки. Техническим специалистам рекомендуется обращать внимание на подозрительные задачи в Планировщике с именами из случайных шестнадцатеричных значений и на нехарактерные для среды вызовы, имитирующие REST API, исходящие от клиентских рабочих станций.

Domains

• crmassets-351-0ac3da22f804.herokuapp.com
• crmassets-4a69a8e2b3ee.herokuapp.com
• erpapp-901-53f1ea72f036.herokuapp.com
• erpsync-120-f41cdcf813e4.herokuapp.com

URLs

• https://crmassets-351-0ac3da22f804.herokuapp.com/
• https://crmassets-4a69a8e2b3ee.herokuapp.com/
• https://erpapp-901-53f1ea72f036.herokuapp.com/
• https://erpsync-120-f41cdcf813e4.herokuapp.com/

SHA256

• 08d72e73e33093a6be1b571816cb82ed04749c9dee8e16d43a298dcb4a70f322
• 1735f9f9b366d1d52e8852931083c9db4cfcc06ffb99a873192d0ed8fc073e55
• 26e30ddb54be3aea99f59892ee4732dbfb9d2a97445e6038712fece411339c97
• 3b2efa313b1b292a29744e5e032e63cccfed4323731c9944541372213e4e8747
• 402f86dafdcadb4e0529d750167cb36bc54804578a5947a84984f24ba3285d5b
• 47dfcb0dfe1f8d8918579087e7a77e6809622df4b47e344637fbdeb4b61a7d5b
• 4b989684dd7a411ef18f3b6549777d7f136a361fc504e9ab69027d54d5476bbe
• 5a0f7ce7ea43810dc27c04d6aa0f7a174beedf350ea5f410c8ccad068c9d94dc
• 5d38bfc4a57d90c82ffd38373c8f357abc110b4e4de4085afc6a193f6d264e99
• 5fccb6b2f34a8b8e9a3f3435a7f121e7fffd2ec463c58f46e037129c63f08628
• 6d97ce6d630538c99730f30045ec96e645efdc0ef2f97847e74cf30b88ec64f9
• 7f0395176e16d30025d9b31b9d0e6cced2cb583aea9b2ac4b5a72ddfe6cd2399
• 897d5abbc05ded1b76ec10cb911f1342345fc85eedd393e3928cd3c2d1a0a853
• 8a76d47e0e0fb2ccda6caedb6ef14361704985b78b7d1653030b412441275c22
• 8db46fe1eb20caa85e99864a3119f5750358c8f363d482a04a72f668deac7cdd
• 9206217d98f36f41a2785930dba26ba3b5aebf64ee766807bbab8829ffda08ce
• 95671f1e3a1d7cd4f3998406599c80e8ea8c930b9b50f2b50c95d1e105b0761d
• ad0398af16ad08727dcd7e3198833f360ecff030ca14186415a465b877fa2b64
• b18b5e566f5c71008298fd97cef09a12e2a74efa9436871986c224376e2a5ed2
• b2a9396113ac8fdda00ad143038ab8d811fe6cce49a41bcf38fae09879b20fbd
• b88a69ee29e1421937d8f38ecc132fdd9be6620ee1350f7204e8d08be7b0212a
• ba0fcc8b2f836984932733c83fac13f1ce6fd91e7e85231b7effebb55d9e3b50
• bb72f69621da585bdb03ab364b2cdcb572221b4f683ead179c1ca6c453ddb40f
• c007cc2a99c3d73a45511561da824eeeb506fd54d55dc3d783d76b28a998428f
• c4068c70f097dc39785e87e3a9096db529410bc0ae3109c552d0e873cf04a911
• cf503f867c3604c58fbaf86cb9d91846a004c6d92c9c558e6e49e3b6a9fbffa1
• d2cfd96346c4efeb75d54d79de783831386dbf44203a9df291baf56082d1fe07
• db56c5b2e0242e5ed24f6b41dc685a1ba531dda38a96e9812e9fa6dda73f5da1
• e67fd4c4c731d1371048c0989026e95238d92f2d27f337d0d1866a24436418f2
• e9cc65ccd33a5e39d4ac74028aa2d8ddbedb32391c125c77c78b72286f46b700
• ec63601647fa3439ca69ec8cb213022807509c7a3a7bb71459f0b061e7004564
• f61cf89ee05f9ca7a136ef41cb841f85030f1c6a8c912e3953e9c0428f717cb2
• fab03615d94770219ff36f15616f42376991c887d6da2d1c6e3c9ad58f669474