PowMixボットネット

サイバーセキュリティ研究者らは、少なくとも2025年12月以降、チェコ共和国の労働者を標的とした悪質な攻撃キャンペーンが継続的に行われていることを確認した。この攻撃の中心となっているのは、これまで記録されていなかったPowMixと呼ばれるボットネットである。この脅威は、コマンド＆コントロール（C2）インフラストラクチャへの永続的な接続を回避し、ランダムな通信パターンを利用することで、従来の検出メカニズムを回避するように設計されている。

ステルス通信：高度なC2回避技術

PowMixは、ネットワーク環境内で検出されないように、高度な手法を活用しています。C2サーバーとの継続的な通信を維持するのではなく、PowerShellコマンドで生成されるランダムなビーコン送信間隔を使用します。これらの間隔は、最初は0秒から261秒の範囲で、その後1,075秒から1,450秒の範囲に延長され、予測可能なトラフィックパターンを効果的に妨害します。

さらに、このボットネットは暗号化されたハートビートデータと固有の被害者識別子をC2 URLパスに直接埋め込み、正規のREST APIトラフィックを模倣します。この設計により、マルウェアは通常のネットワーク通信にシームレスに溶け込むことができます。また、このボットネットは設定ファイルを通じてC2ドメインを動的に更新できるため、インフラストラクチャが変更された場合でも運用継続性を確保できます。

感染連鎖：多段階展開戦略

攻撃は、通常フィッシングメールを通じて配布される悪意のあるZIPアーカイブから始まります。アーカイブが開かれると、綿密に計画された多段階の感染プロセスが開始されます。

• Windowsショートカット（LNK）ファイルが実行を開始します
• PowerShellローダーは、埋め込まれたペイロードを抽出して復号化する。
• このマルウェアはメモリ上で直接実行されるため、ディスク上の痕跡は最小限に抑えられます。

このファイルレス実行方式は、従来のセキュリティツールによる検出の可能性を大幅に低減します。

機能と持続メカニズム

PowMixは、攻撃者が偵察活動、任意のコードの実行、侵害したシステムに対する長期的な制御を維持できるようにする、多機能なリモートアクセスツールとして設計されています。永続性は、スケジュールされたタスクの作成によって実現され、マルウェアがシステムの再起動後もアクティブな状態を維持することを保証します。

運用上の安定性を維持するため、このマルウェアはプロセスツリーを検証し、同一ホスト上で複数のインスタンスが同時に実行されることを防ぎます。

コマンド実行フレームワーク：柔軟な制御アーキテクチャ

このボットネットは、C2サーバーから発行されるコマンドを主に2つのカテゴリに分類してサポートしています。その動作は、サーバーからの応答形式によって決まります。

「#」プレフィックスのないコマンドは任意実行モードをトリガーし、マルウェアに受信したペイロードの復号化と実行を促します。

特殊コマンドには以下が含まれます。

#KILL: 自己削除を開始し、悪意のある活動の痕跡をすべて削除します

#HOST: ボットネットのC2サーバーアドレスを更新し、通信を継続します

この柔軟なコマンド構造により、オペレーターはマルウェアの動作をリアルタイムで調整できる。

ソーシャルエンジニアリングの手法：注意をそらすための偽文書

キャンペーンの効果を高めるため、ソーシャルエンジニアリングの手法が用いられています。被害者には、コンプライアンス関連のテーマを盛り込んだ、一見正当に見える偽の文書が提示されます。これらの文書には、Edekaなどの有名ブランド名が記載され、正当な法令の引用とともに報酬に関する詳細情報も含まれています。こうした要素は、信頼を築き、特に求職者などのターゲットを欺いて、悪意のあるコンテンツに関与させることを意図しています。

戦術的重複：ジップラインキャンペーンへのリンク

分析の結果、PowMixと、2025年8月にサプライチェーンの要となる製造業を標的とした、以前に公表されたZipLineと呼ばれる攻撃キャンペーンとの間に類似点が見られた。共通する戦術としては、ZIPベースのペイロード配信、スケジュールされたタスクによる永続性、C2作戦におけるHerokuインフラストラクチャの使用などが挙げられる。

これらの重複はあるものの、PowMixボットネット自体以外のペイロードは確認されていない。このため、今回の攻撃キャンペーンの最終的な目的は不明瞭であり、今後、さらなる展開や二次的なペイロードが出現する可能性が示唆される。