Botnet PowMix Baru Serang Pekerja Ceko dengan Trafik C2 Acak untuk Mengelabui Deteksi

Peneliti keamanan siber telah memperingatkan adanya kampanye serangan aktif yang menargetkan tenaga kerja di Republik Ceko dengan botnet baru bernama PowMix yang belum pernah terdokumentasi sebelumnya dan telah aktif sejak Desember 2025.

Teknik Trafik C2 Acak untuk Menghindari Deteksi

Menurut peneliti Cisco Talos, Chetan Raghuprasad, PowMix menggunakan interval beacon command-and-control (C2) yang diacak, bukan koneksi persisten ke server C2, untuk mengelabui deteksi tanda tangan jaringan.

"PowMix menyisipkan data heartbeat terenkripsi bersama dengan pengenal unik mesin korban ke dalam jalur URL C2, menyerupai URL API REST yang sah. PowMix juga memiliki kemampuan untuk memperbarui domain C2 baru secara dinamis pada file konfigurasi botnet," ujar Raghuprasad dalam laporan yang dipublikasikan hari ini.

Rantai Serangan dan Metode Infeksi

Serangan dimulai dengan file ZIP berbahaya yang kemungkinan dikirim melalui email phishing. File ini memicu rantai infeksi multi-tahap yang akhirnya menanam PowMix di sistem korban. Metode spesifiknya melibatkan sebuah Windows Shortcut (LNK) yang menjalankan loader PowerShell, lalu mengekstrak malware yang tersembunyi dalam arsip, mendekripsi, dan menjalankan malware tersebut langsung di memori.

Botnet ini dirancang untuk memberikan akses jarak jauh, melakukan pengintaian, dan eksekusi kode dari jarak jauh. Selain itu, PowMix memastikan keberlangsungan dengan menjadwalkan tugas (scheduled task) yang berjalan terus-menerus. Ia juga memverifikasi proses yang berjalan agar tidak ada instance malware serupa yang aktif secara bersamaan pada host yang sama.

Fitur Pengendalian dan Pengelolaan Jarak Jauh

PowMix dapat menerima dua jenis perintah dari server C2:

• #KILL: Memulai rutinitas penghapusan diri untuk menghilangkan jejak malware.
• #HOST: Memungkinkan migrasi C2 ke URL server baru.

Selain itu, malware ini juga membuka dokumen umpan yang berisi tema kepatuhan dengan merek-merek sah seperti Edeka, lengkap dengan data kompensasi dan referensi legislatif yang valid. Dokumen ini berfungsi sebagai distraksi untuk menambah kredibilitas dan menipu korban, khususnya para pencari kerja.

Kaitan dengan Kampanye Malware Lain dan Teknik Evasion

Menurut Cisco Talos, kampanye PowMix memiliki kesamaan taktis dengan kampanye ZipLine yang diungkap oleh Check Point pada Agustus 2025. ZipLine menargetkan perusahaan manufaktur yang penting dalam rantai pasokan dengan malware memori bernama MixShell.

Kesamaan tersebut mencakup penggunaan file ZIP sebagai media payload, persistence dengan scheduled task, dan penyalahgunaan platform Heroku sebagai server C2. Namun, hingga kini belum ditemukan payload akhir selain malware botnet itu sendiri, sehingga motif pasti PowMix masih belum jelas.

Penggunaan teknik beaconing acak sangat menonjol dalam PowMix. Talos menjelaskan, "PowMix menghindari koneksi persisten ke server C2 dengan mengimplementasikan jitter menggunakan perintah PowerShell Get-Random untuk mengacak interval beacon antara 0 hingga 261 detik, kemudian antara 1.075 hingga 1.450 detik. Teknik ini berupaya mencegah deteksi trafik C2 melalui tanda jaringan yang dapat diprediksi."

Perkembangan Malware Botnet Lain: RondoDox

Di sisi lain, perusahaan keamanan Bitsight mengungkap rantai infeksi botnet RondoDox yang berkembang dengan kemampuan menambang cryptocurrency secara ilegal menggunakan XMRig, di samping kemampuan serangan Distributed Denial-of-Service (DDoS) yang sudah ada.

RondoDox dapat mengeksploitasi lebih dari 170 kerentanan aplikasi yang terekspos internet untuk memperoleh akses awal. Malware ini menanam skrip shell yang melakukan anti-analisis dasar dan menghapus malware pesaing sebelum menanam binary botnet sesuai arsitektur sistem target.

"Malware ini melakukan berbagai pemeriksaan dan teknik penghambat analisis, termasuk penggunaan nanomites, mengganti nama atau menghapus file, menghentikan proses, dan memeriksa debugger selama eksekusi," jelas João Godinho, Principal Research Scientist di Bitsight.

RondoDox mampu menjalankan serangan DoS di lapisan internet, transport, dan aplikasi tergantung perintah dari server C2.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan botnet PowMix dengan teknik beaconing acak ini menandakan tren baru dalam evolusi malware yang semakin canggih dalam menghindari deteksi tradisional. Penggunaan payload berbasis ZIP yang dikirim melalui phishing email juga menunjukkan bahwa teknik sosial engineering masih menjadi vektor utama serangan, khususnya menargetkan tenaga kerja yang rentan terhadap penipuan terkait pekerjaan.

Selain itu, kemampuan PowMix untuk memperbarui domain C2 secara dinamis dan menjalankan perintah khusus memperlihatkan adanya infrastruktur yang fleksibel dan sulit diputus. Hal ini mengindikasikan bahwa botnet ini bisa menjadi ancaman jangka panjang jika tidak segera ditangani dengan serius.

Publik dan institusi di Republik Ceko maupun global harus meningkatkan kewaspadaan terhadap email phishing dan memperkuat deteksi anomali jaringan dengan fokus pada pola beaconing yang tidak teratur. Selanjutnya, riset lebih mendalam perlu dilakukan untuk mengungkap tujuan akhir botnet PowMix, apakah hanya untuk pengintaian atau bagian dari aksi kriminal yang lebih besar.

Untuk informasi lebih lanjut, kunjungi sumber aslinya di The Hacker News dan pantau terus perkembangan keamanan siber terbaru di media terpercaya.