Newly Discovered PowMix Botnet Hits Czech Workers Using Randomized C2 Traffic

1 minute de lecture

Mis à jour : April 16, 2026

Analyse du botnet PowMix : Menaces et évasion

Le botnet PowMix, actif depuis décembre 2025, cible les travailleurs en République tchèque via des campagnes de phishing sophistiquées. Ce malware se distingue par des techniques avancées d’évasion et une gestion dynamique de son infrastructure de commande et contrôle (C2).

Points clés :

Vecteur d’attaque : Utilisation de fichiers ZIP malveillants contenant des raccourcis Windows (.LNK) qui exécutent des loaders PowerShell. Le malware s’exécute directement en mémoire.
Techniques d’évasion : Utilisation de la commande Get-Random pour générer des intervalles de communication (jitter) irréguliers et masquer les signatures réseau. Le trafic C2 imite des appels d’API REST légitimes.
Persistance et leurres : Utilisation de tâches planifiées pour la persistance et ouverture simultanée de faux documents de conformité pour distraire l’utilisateur.
Modularité : Possibilité de mettre à jour dynamiquement les domaines C2 et d’exécuter des charges utiles arbitraires.

Vulnérabilités :

Bien que l’article mentionne que le botnet RondoDox exploite plus de 170 vulnérabilités connues (sans liste exhaustive), PowMix se concentre sur l’exploitation du facteur humain via le phishing et l’utilisation de PowerShell. Aucune CVE spécifique n’est associée à l’exécution initiale de PowMix, qui repose sur l’exécution de code par l’utilisateur.

Recommandations :

Sensibilisation : Former les employés à la méfiance envers les pièces jointes non sollicitées, particulièrement les fichiers compressés (.ZIP) contenant des raccourcis.
Filtrage PowerShell : Restreindre ou surveiller étroitement l’exécution des scripts PowerShell au sein de l’environnement de travail.
Segmentation et surveillance réseau : Mettre en place une surveillance du trafic sortant pour détecter des beacons (signaux) irréguliers et des requêtes vers des domaines suspects ou non répertoriés.
Analyse de processus : Déployer des solutions EDR (Endpoint Detection and Response) capables d’identifier les comportements suspects, comme le déploiement de tâches planifiées par des processus inhabituels ou des tentatives de suppression de traces.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Newly Discovered PowMix Botnet Hits Czech Workers Using Randomized C2 Traffic

Analyse du botnet PowMix : Menaces et évasion

Partager sur

Vous pourriez aimer

[Guest Diary] Compromised DVRs and Finding Them in the Wild, (Thu, Apr 16th)

Vulnérabilité et compromission massive des enregistreurs vidéo (DVR)

WordPress plugin suite hacked to push malware to thousands of sites

Compromission de la chaîne d’approvisionnement : La suite EssentialPlugin infectée

[Webinar] Find and Eliminate Orphaned Non-Human Identities in Your Environment

La menace invisible : sécuriser les identités non humaines

US nationals behind DPRK IT worker laptop farm sent to prison

Infiltration d’entreprises américaines par des travailleurs nord-coréens : démantèlement d’un réseau