Botnet جديد سميتو PowMix كيستهدف الخدامة في التشيك بتقنيات متطورة باش يهرب من الـ Detection
Newly Discovered PowMix Botnet Hits Czech Workers Using Randomized C2 Traffic
Botnet جديد سميتو PowMix كيستهدف الخدامة في التشيك بتقنيات متطورة باش يهرب من الـ Detection
خلاصة (TL;DR)
بانت واحد الـ Botnet جديدة سميتها PowMix كتستهدف الموظفين في جمهورية التشيك من دوجمبر 2025. هاد الـ malware، اللي كتاشفاتو Cisco Talos، كيخدم بواحد الـ "jitter" عشوائي في التواصل ديالو وكيقلد الـ traffic ديال الـ REST API باش يهرب من لأنظمة ديال حماية الشبكات.
الباحثين في الأمن السيبراني كتاشفوا واحد "الطرف مهدد" (threat actor) جديد ومتطور كيستهدف الشغيلة في التشيك. هاد الـ botnet اللي ما كانتش معروفة من قبل، وتسمات PowMix، كتميز بتقنيات هرب متطورة وقدرة على التخبات وسط الـ traffic العادي ديال الشبكة باستعمال توقيتات عشوائية (randomized beaconing intervals).
على حساب واحد التقرير خرجاتو Cisco Talos، هاد الحملة خدامة من دوجمبر 2025 على الأقل، ومركزة بزاف على الموظفين المحليين باستعمال طرق ديال الهندسة الاجتماعية (social engineering) مدروسة مزيان.
سلسلة العدوى: من الـ Phishing حتى لـ Memory
الهجمة غالباً كبدأ بملف ZIP خبيث، اللي الباحثين كيضنو بلي كيتصيفط عبر إيميلات Phishing. غير كيحلو المستخدم، كتبدا عملية عدوى فيها بزاف ديال المراحل:
- المحفز LNK: المستخدم كيكيليكي على ملف Windows Shortcut (LNK) كاين وسط الـ ZIP.
- PowerShell Loader: ملف الـ LNK كيطلق واحد الـ loader بالـ PowerShell.
- التنفيذ في الذاكرة (In-Memory Execution): هاد الـ loader كيخرج الـ payload الأساسي ديال الـ malware من الـ ZIP، كيفك ليه التشفير، وكيخدمو نيشان في التذاكرة (RAM) باش ما يخلي حتى أثر في القرص الصلب (disk).
باش يضمن بلي كيبقى خدام ومخبي، الـ malware كيتحقق من الـ process tree ديال السيستيم باش يتأكد بلي ما خدام حتى شي PowMix آخر. وكيدير "Persistence" (الاستمرارية) في الجهاز الضحية عن طريق إنشاء "Scheduled Task".
الهرب عن طريق الـ "Jitter" وتقليد الـ API
أهم ميزة في PowMix هي الطريقة المخفية باش كيتواصل. عكس الـ botnets التقليدية اللي كتحافظ على اتصال دايم مع الـ Command-and-Control (C2)، PowMix كيخدم بتقنية الـ "jitter".
باستعمال الأمر Get-Random في PowerShell، هاد الـ botnet كيغير المدة ما بين كل تواصل وتواصل — في الأول كتكون ما بين 0 و 261 ثانية، ومن بعد كطلع لـ مابين 1,075 و 1,450 ثانية. هاد العشوائية كتخلي أدوات حماية الشبكة تعجز باش تعرف بلي هاد الـ traffic خايب حيت ما عندوش نمط محدد (predictable signatures).
زيد عليها بلي PowMix كيقلد الـ URLs ديال الـ REST API الحقيقية. كيزرع بيانات الـ "heartbeat" مشفرة ومعرفات الأجهزة وسط الـ URL paths ديال الـ C2، باش يبان الـ traffic الخبيث بحال تواصل عادي ديال شي application.
القدرات والأوامر
PowMix مصمم باش يدير التجسس (reconnaissance)، التحكم عن بعد (remote access)، وتنفيذ الأوامر (RCE). السيستيم ديالو ديال التحكم كيعرف أوامر محددة من السيرفر C2:
- Arbitrary Execution: إلا كانت الاستجابة ديال الـ C2 مابادياش بـ "#"، الـ botnet كيتعامل معاها كـ payload جديد خاصو يتشفر ويتنفذ.
- #KILL: كيمسح راسو وكل الأثار ديالو من الجهاز الضحية.
- #HOST: كيسمح للـ botnet باش يبدل الـ C2 domain لواحد جديد، باش يبقى خدام حتى إلا طاح السيرفر القديم.
ملي كيكون الـ malware خدام، كيبين واحد "Decoy document" (وثيقة وهمية) للضحية. هاد الوثائق كيكون فيها مواضيع ديال الالتزام بالقانون (compliance) وكتستعمل سميات شركات معروفة بحال Edeka، هادشي باش يتيقو الموظفين ديال الـ HR ولا الناس اللي كيقلبو على خدمة بلي الملف راه حقيقي.
تشابه في التكتيكات ودوافع مجهولة
Cisco Talos لاحظات بلي PowMix كيتشابه في التكتيكات مع واحد الحملة سميتها ZipLine (بانت في غشت 2025)، اللي كانت كتستعمل malware سميتو MixShell لاستهداف سلاسل التوريد الصناعية. بجوجهم كيخدمو بملفات ZIP، ومنصة Heroku للـ C2، والـ scheduled tasks باش يبقاو في السيستيم.
وخا هاد الـ botnet متطورة، الباحثين مازال ما شافو حتى شي "Final Payload" (هدف نهائي) من غير الـ botnet نيت. هادشي كيخلي الدافع الحقيقي — واش هو سرقة البيانات، ولا ransomware، ولا تجسس طويل الأمد — مجهول حالياً.
مشهد الـ Botnets الواسع: RondoDox
الاكتشاف ديال PowMix جا في نفس الوقت مع معلومات جديدة على RondoDox، وهي botnet خرى كتطور. على حساب Bitsight، RondoDox زادت في القدرات ديالها تعدين العملات الرقمية (بـ XMRig) مع الـ DDoS اللي كان عندها أصلاً. RondoDox معروفة بالعدوانية ديالها، حيت كتستغل كتر من 170 ثغرة معروفة باش تدخل للأجهزة، وكتمسح الـ malware "المنافس" ليها من الأجهزة المصابة باش تنفرد بالموارد.
الظهور ديال PowMix والنسخ الجديدة ديال RondoDox كبينو التوجه ديال الـ malware اللي ولا كيصعب كتر وكيهرب من الحماية، وكيستهدف فئات محددة في أوروبا وبنية تحتية عالمية.
المصدر
العنوان: Newly Discovered PowMix Botnet Hits Czech Workers Using Randomized C2 Traffic
URL: https://thehackernews.com/2026/04/newly-discovered-powmix-botnet-hits.html