Investigadores de ciberseguridad han advertido sobre una campaña maliciosa activa dirigida a la fuerza laboral en la República Checa con una botnet previamente indocumentada denominada mezcla de polvo desde al menos diciembre de 2025.
«PowMix emplea intervalos de balizas de comando y control (C2) aleatorios, en lugar de una conexión persistente al servidor C2, para evadir las detecciones de firmas de red», dijo Chetan Raghuprasad, investigador de Cisco Talos, en un informe publicado hoy.
«PowMix incorpora los datos de latidos cifrados junto con identificadores únicos de la máquina víctima en las rutas URL de C2, imitando las URL de API REST legítimas. PowMix tiene la capacidad de actualizar dinámicamente de forma remota el nuevo dominio C2 al archivo de configuración de la botnet».
La cadena de ataque comienza con un archivo ZIP malicioso, probablemente entregado a través de un correo electrónico de phishing, para activar una cadena de infección de varias etapas que elimina PowMix. Específicamente, se trata de un acceso directo de Windows (LNK) que se utiliza para iniciar un cargador de PowerShell, que luego extrae el malware incrustado en el archivo, lo descifra y lo ejecuta en la memoria.
La botnet nunca antes vista está diseñada para facilitar el acceso remoto, el reconocimiento y la ejecución remota de código, al tiempo que establece persistencia mediante una tarea programada. Al mismo tiempo, verifica el árbol de procesos para garantizar que no se esté ejecutando otra instancia del mismo malware en el host comprometido.
La lógica de gestión remota de PowMix le permite procesar dos tipos diferentes de comandos enviados desde el servidor C2. Cualquier respuesta sin prefijo # hace que PowMix cambie al modo de ejecución arbitrario y descifre y ejecute la carga útil obtenida.
- #KILL, para iniciar una rutina de autoeliminación y borrar rastros de todos los artefactos maliciosos
- #HOST, para habilitar la migración de C2 a una nueva URL del servidor.
Paralelamente, también abre un documento señuelo con señuelos con temática de cumplimiento como mecanismo de distracción. Los documentos señuelo hacen referencia a marcas legítimas como Edeka e incluyen datos de compensación y referencias legislativas válidas, potencialmente en un esfuerzo por mejorar su credibilidad y engañar a los destinatarios, como los aspirantes a empleo.
Talos dijo que la campaña comparte cierto nivel de superposición táctica con una campaña denominada ZipLine que Check Point reveló a fines de agosto de 2025 como dirigida a empresas de fabricación críticas para la cadena de suministro con un malware en memoria llamado MixShell.
Esto incluye el uso de la misma entrega de carga útil basada en ZIP, la persistencia de tareas programadas y el abuso de Heroku para C2. Dicho esto, no se han observado cargas útiles finales más allá del propio malware botnet, lo que deja sin respuesta preguntas sobre sus motivos exactos.
«PowMix evita conexiones persistentes al servidor C2», dijo Talos. «En su lugar, implementa una fluctuación a través del comando Get-Random PowerShell para variar los intervalos de baliza inicialmente entre 0 y 261 segundos, y posteriormente entre 1.075 y 1.450 segundos. Esta técnica intenta evitar la detección de tráfico C2 a través de firmas de red predecibles».
La divulgación se produce cuando Bitsight arroja luz sobre la cadena de infección asociada con la botnet RondoDox, destacando las capacidades en evolución del malware para extraer criptomonedas ilícitamente en sistemas infectados usando XMRig además de la funcionalidad de ataque de denegación de servicio distribuido (DDoS) existente.
Los hallazgos pintan la imagen de un malware mantenido activamente que ofrece evasión mejorada, mayor resistencia, eliminación agresiva de la competencia y un conjunto de funciones ampliado.
RondoDox es capaz de explotar más de 170 vulnerabilidades conocidas en varias aplicaciones conectadas a Internet para obtener acceso inicial y soltar un script de shell que realiza un antianálisis básico y elimina el malware de la competencia antes de soltar el binario de botnet apropiado para la arquitectura.
El malware «realiza múltiples comprobaciones e implementa técnicas para obstaculizar el análisis, que incluyen el uso de nanomites, renombrar/eliminar archivos, eliminar procesos y verificar activamente si hay depuradores durante la ejecución», dijo el científico investigador principal de Bitsight, João Godinho.
«El robot es capaz de ejecutar ataques DoS en Internet, en la capa de transporte y de aplicación, dependiendo del comando y los argumentos emitidos por el C2».