Campanha ativa usa arquivos ZIP com atalho LNK, carregador PowerShell, execução em memória e persistência por tarefa agendada para operar uma botnet ainda não documentada.
| Componente | Botnet PowMix em hosts Windows, entregue por arquivo ZIP malicioso com atalho LNK e carregador PowerShell. |
| Vetor | Provável phishing com arquivo ZIP; o atalho LNK aciona uma cadeia em múltiplos estágios que extrai, descriptografa e executa o malware em memória. |
| Impacto | A botnet oferece acesso remoto, reconhecimento, execução remota de código, atualização dinâmica de domínio C2 e persistência por tarefa agendada. |
| Prioridade | Investigar anexos ZIP com LNK, execução PowerShell disparada por atalho, tarefas agendadas recém-criadas e beaconing HTTP com intervalos variáveis para domínios C2. |
| Artefatos | URLs C2 com caminhos semelhantes a APIs REST legítimas, contendo heartbeat criptografado e identificadores únicos da máquina vítima. |
| Limites | Nenhum payload final foi observado além do próprio malware de botnet, portanto a motivação final da campanha permanece não confirmada. |
Uma campanha maliciosa ativa mira trabalhadores na República Tcheca com uma botnet previamente não documentada chamada PowMix, observada desde pelo menos dezembro de 2025. A operação começa com um arquivo ZIP malicioso, provavelmente distribuído por phishing, e usa uma cadeia de infecção orientada a Windows para executar o malware em memória. O fluxo combina atalho LNK, carregador PowerShell, descriptografia local do conteúdo embutido no arquivo e execução sem depender de um binário final gravado de forma simples e direta em disco. Essa combinação reduz a visibilidade para controles que olham apenas para arquivos persistentes e aumenta a importância de correlação entre anexo, processo pai, PowerShell, tarefa agendada e tráfego HTTP posterior.
PowMix foi projetado para acesso remoto, reconhecimento e execução remota de código, mas o material analisado não confirma roubo de dados, movimentação lateral, ransomware ou instalação de outro payload. O ponto técnico central é a capacidade de operação como botnet: o malware mantém comunicação com servidor de comando e controle, processa respostas enviadas pela infraestrutura remota, executa payloads obtidos quando certas condições de resposta são atendidas e consegue atualizar dinamicamente o domínio C2 em seu arquivo de configuração. A campanha também inclui documentos de distração com tema de conformidade, referências legislativas válidas e marcas legítimas, o que sugere tentativa de dar plausibilidade ao anexo para candidatos ou trabalhadores que receberiam material aparentemente administrativo.
A cadeia começa quando a vítima abre o ZIP e interage com um atalho Windows LNK. Esse atalho inicia um carregador PowerShell, que extrai o malware embutido dentro do próprio arquivo, realiza descriptografia e executa o conteúdo em memória. O uso de PowerShell como estágio intermediário é relevante para a defesa porque desloca parte da detecção para telemetria de script, linha de processo, relação entre processos e eventos de carga em memória. Não é necessário publicar comandos ou payloads para entender o risco: o comportamento defensivamente observável é a execução de PowerShell iniciada por atalho proveniente de arquivo compactado, seguida por criação de persistência e tráfego de rede com padrão C2.
Depois da execução, PowMix verifica a árvore de processos para evitar que outra instância do mesmo malware rode no host comprometido. Essa checagem reduz duplicidade operacional e pode impedir ruído que denunciaria a infecção por consumo anormal de recursos ou múltiplas conexões simultâneas. A persistência é estabelecida por tarefa agendada, mecanismo comum em Windows porque permite reexecução em condições configuradas pelo operador. Para equipes de resposta, a presença de uma tarefa agendada ligada a PowerShell, arquivo temporário, caminho incomum ou artefato derivado de ZIP deve ser tratada como forte sinal de comprometimento quando combinada ao restante da cadeia.
A comunicação C2 é um dos elementos mais distintivos. Em vez de manter conexão persistente com o servidor, PowMix usa intervalos aleatorizados de beaconing. Inicialmente, os intervalos variam entre 0 e 261 segundos; depois, passam para uma janela maior, entre 1.075 e 1.450 segundos. Essa variação tenta dificultar assinaturas de rede baseadas em periodicidade fixa. Além disso, os dados de heartbeat criptografados e identificadores únicos do host são embutidos nos caminhos das URLs C2, com aparência semelhante a endpoints de API REST legítimos. A defesa deve considerar que o tráfego pode parecer uma requisição web comum quando analisado isoladamente, exigindo correlação com origem do processo, reputação do domínio, estrutura incomum de caminho e sequência temporal pós-infecção.
A lógica de gerenciamento remoto aceita dois tipos de comandos enviados pelo C2. Respostas sem prefixo específico levam o malware a entrar em modo de execução arbitrária, descriptografando e executando o payload recebido. O contexto não confirma qual payload final foi entregue além da própria botnet, portanto a análise deve permanecer limitada ao que foi observado: acesso remoto, reconhecimento, execução de código e atualização de configuração C2. Também há sobreposição tática com a campanha ZipLine divulgada em agosto de 2025, incluindo entrega via ZIP, persistência por tarefa agendada e uso de Heroku para C2, mas essa semelhança não deve ser tratada como atribuição definitiva de operador.
A superfície de maior risco envolve estáções Windows de trabalhadores que recebem anexos compactados, especialmente quando o conteúdo parece relacionado a conformidade, compensação, legislação ou processos profissionais. O texto de isca menciona marcas legítimas e dados de compensação para aumentar a credibilidade do documento de distração. Como o vetor provável é phishing, a exposição depende de interação do usuário com o ZIP e com o LNK, mas o impacto técnico após a execução é relevante: o host passa a poder receber instruções remotas, atualizar C2 e executar payloads fornecidos pelo servidor.
Ambientes com bloqueio fraco de anexos LNK, telemetria limitada de PowerShell, permissões permissivas para tarefas agendadas por usuário e inspeção de rede baseada apenas em assinaturas estáticas têm maior probabilidade de perder a cadeia completa. A ausência de payload final observado não reduz a urgência da investigação, porque a funcionalidade de execução remota já permite mudança de objetivo operacional sem alteração visível do vetor inicial. O ponto defensivo é tratar PowMix como plataforma de acesso e orquestração, não apenas como um dropper isolado.
- Estáções Windows que abriram arquivos ZIP recebidos por e-mail ou outro canal de entrega semelhante.
- Execução de atalhos LNK extraídos de arquivos compactados, especialmente quando o processo filho envolve PowerShell.
- Hosts com novas tarefas agendadas criadas logo após abertura de anexo ou documento de distração.
- Tráfego HTTP ou HTTPS com caminhos de URL longos ou estruturados como API, originado por processo associado à cadeia de infecção.
A investigação deve começar pela cadeia de processo. Procure eventos em que um arquivo LNK extraído de ZIP inicia PowerShell, seguido por execução em memória ou criação de tarefa agendada. O nome do documento de distração pode variar, então a detecção não deve depender apenas de título ou tema visual. O mais robusto é correlacionar origem do anexo, extração de arquivo compactado, execução de atalho, PowerShell como processo filho e persistência em uma janela curta. Em EDR, a ausência de binário estático claramente malicioso não deve encerrar a análise se houver comportamento de carregamento, descriptografia e execução em memória.
Na rede, o beaconing aleatório exige uma abordagem menos dependente de periodicidade exata. Os intervalos observados incluem uma fase inicial curta e uma fase posterior mais espaçada, o que pode gerar tráfego aparentemente irregular. A análise deve procurar destinos recorrentes, caminhos de URL que imitam APIs REST, presença de identificadores persistentes por host nos caminhos e requisições surgindo após a execução do LNK. Como o malware consegue atualizar dinamicamente o domínio C2, a busca por um único domínio fixo é insuficiente; a telemetria deve preservar histórico de DNS, proxy, SNI, processo de origem e correlação temporal com a criação da tarefa agendada.
Em endpoint, vale revisar tarefas agendadas criadas por usuários comuns, scripts ou atalhos, especialmente quando a ação aponta para PowerShell ou para caminhos fora de diretórios administrativos esperados. Também é importante investigar processos PowerShell com execução associada a conteúdo extraído de ZIP, comandos ofuscados resumidos em telemetria, leitura de arquivo compactado e criação de processos sem cadeia de instalação legítima. Como a botnet evita múltiplas instâncias por host, uma única sequência consistente pode ser suficiente para indicar comprometimento.
- Evento de LNK como ponto de entrada, com PowerShell como processo filho ou próximo estágio.
- Tarefa agendada criada após interação com ZIP ou documento de isca.
- Beaconing para domínio C2 com intervalos variáveis e caminhos parecidos com endpoints REST.
- URLs contendo valores estáveis por host ou padrões compatíveis com identificadores de máquina e heartbeat criptografado.
- Atualização de configuração de C2 ou mudança de domínio após comunicação inicial.
A resposta deve priorizar contenção do endpoint suspeito, preservação de artefatos e bloqueio da comunicação C2 observada. Como PowMix executa conteúdo em memória e pode atualizar domínio de comando e controle, apenas remover um arquivo visível do ZIP não é suficiente. A equipe deve coletar árvore de processos, tarefas agendadas, histórico de PowerShell, eventos de criação de processo, cache de DNS, logs de proxy e amostras dos anexos quando disponíveis. Em seguida, deve isolar hosts com evidência de beaconing ou persistência e revisar contas que executaram os atalhos, sem presumir exfiltração ou movimentação lateral quando isso não foi observado.
A prevenção passa por reduzir a chance de execução do vetor inicial. Bloquear ou colocar em quarentena anexos com LNK dentro de ZIP, restringir PowerShell a políticas compatíveis com a operação do ambiente, monitorar criação de tarefas agendadas por usuários não administrativos e ampliar inspeção de anexos são medidas diretamente alinhadas ao comportamento descrito. Para organizações com usuários expostos a documentos de recrutamento, compensação, conformidade ou temas legislativos, a triagem de phishing deve considerar que o documento legítimo ou plausível pode ser apenas uma distração aberta em paralelo ao carregamento do malware.
Depois da contenção, valide a ausência de novas tarefas agendadas, conexões recorrentes, domínios C2 atualizados e processos PowerShell fora do padrão. A rotação de credenciais deve ser avaliada para contas usadas no host comprometido, principalmente se houver evidência de reconhecimento local ou acesso remoto, mas não deve ser apresentada como confirmação de roubo de credenciais sem telemetria que sustente essa conclusão. A prioridade operacional é interromper a persistência, cortar a comunicação de comando e controle, reconstruir a linha do tempo da infecção e ajustar controles para detectar futuras variações do mesmo fluxo.
- Bloquear anexos ZIP contendo LNK ou submetê-los a análise reforçada antes da entrega ao usuário.
- Alertar para PowerShell iniciado por atalho, especialmente quando associado a arquivo compactado recém-aberto.
- Revisar e remover tarefas agendadas suspeitas apenas após coleta de evidências necessárias para resposta.
- Correlacionar DNS, proxy e EDR para detectar beaconing com jitter e mudança dinâmica de domínio C2.
- Tratar documentos de distração com temas administrativos como parte da cadeia, não como prova de legitimidade.
0 Comentários