حذّر باحثو الأمن السيبراني من حملة خبيثة نشطة تستهدف القوى العاملة في جمهورية التشيك باستخدام شبكة بوت نت جديدة غير موثقة سابقاً تُعرف باسم PowMix، منذ ديسمبر 2025 على الأقل. هذه الشبكة تعتمد على تقنيات مراوغة متقدمة لتجنب الاكتشاف، أبرزها استخدام فواصل زمنية عشوائية في الاتصال بخوادم التحكم والسيطرة (C2) بدلاً من الاتصال المستمر.
آلية العدوى وسلسلة الهجوم
تبدأ سلسلة الهجوم بملف ZIP خبيث يُرسل غالباً عبر رسائل تصيّد إلكتروني، يحتوي على ملف اختصار Windows LNK يقوم بتشغيل محمل PowerShell. هذا المحمل يستخرج البرمجية الخبيثة المضمنة داخل الأرشيف، يفك تشفيرها، ويشغّلها في الذاكرة مباشرة.
شبكة PowMix مصممة لتوفير وصول عن بُعد، تنفيذ أوامر، واستطلاع الأنظمة، مع الحفاظ على الاستمرارية عبر مهمة مجدولة في النظام. كما تتحقق من شجرة العمليات للتأكد من عدم تشغيل نسخة أخرى من نفس البرمجية على الجهاز المصاب.
تقنيات المراوغة والوظائف الخبيثة
- إخفاء حركة المرور: PowMix يدمج بيانات مشفرة مع معرفات الجهاز المصاب داخل مسارات URL الخاصة بـ C2، مقلداً واجهات REST API الشرعية.
- تغيير ديناميكي لـ C2: يمكنه تحديث نطاقات خوادم التحكم والسيطرة بشكل ديناميكي داخل ملف التهيئة.
- أوامر من الخادم:
- #KILL: لتفعيل روتين الحذف الذاتي ومسح جميع الآثار.
#HOST: لتغيير خادم C2 إلى نطاق جديد.
- #KILL: لتفعيل روتين الحذف الذاتي ومسح جميع الآثار.
- التضليل: يفتح مستندات وهمية ذات طابع تشريعي أو تعويضات مالية تحمل شعارات شركات مثل Edeka لإقناع الضحايا بمصداقيتها.
التشابه مع حملات سابقة
أشارت Cisco Talos إلى أن الحملة تشترك في بعض التكتيكات مع حملة ZipLine التي كشفتها Check Point في أغسطس 2025، والتي استهدفت شركات صناعية حيوية باستخدام برمجية MixShell. أوجه التشابه تشمل استخدام ملفات ZIP كوسيلة عدوى، الاستمرارية عبر المهام المجدولة، واستغلال منصات مثل Heroku لخوادم C2.
تقنيات التهرب من الاكتشاف
تتجنب PowMix الاتصالات المستمرة مع خوادم C2، وتستخدم أوامر PowerShell مثل Get-Random لتوليد فواصل زمنية عشوائية بين إشارات الاتصال:
- في البداية بين 0 و261 ثانية.
- لاحقاً بين 1,075 و1,450 ثانية.
هذه التقنية تهدف إلى منع أنظمة الكشف من التعرف على أنماط حركة مرور متوقعة.
سياق أوسع: تطور شبكات البوت نت
يأتي هذا الكشف بالتزامن مع تقارير عن تطور شبكة RondoDox، التي توسعت قدراتها لتشمل تعدين العملات الرقمية باستخدام XMRig إلى جانب هجمات الحرمان من الخدمة (DDoS). هذا يعكس الاتجاه العام نحو تطوير شبكات بوت نت أكثر مرونة، قادرة على إزالة المنافسين، وتوسيع وظائفها الخبيثة.
