보안정보

MalwareCzechBotnetPowMix

PowMix 봇넷, 체코 직장인 겨냥 랜덤 C2 통신 기반 공격

분석팀 2026.04.17



보안 연구진은 체코 직장인을 겨냥한 새로운 공격 캠페인을 공개했다.


이 공격은 "PowMix"라는 이름의 알려지지 않는 봇넷을 사용하며, 2025년 12월부터 활동이 확인됐다.


PowMix는 C2 서버에서 지속적으로 연결하는 대신, 무작위로 C2 비콘 신호를 전송하여 네트워크 시그니처 탐지를 회피한다.


또한 암호화된 하트비트 데이터와 피해자 시스템의 고유 식별자를 C2 URL 경로에 삽입하여, 합법적인 REST API URL처럼 보이게 한다. 


연구진은 "PowMix는 봇넷 설정 파일에 새로운 C2 도메인을 동적으로 업데이트할 수 있는 기능을 갖추고 있다"고 밝혔다. 


이 공격은 악성 ZIP 파일에서 시작되며, 해당 파일은 피싱 이메일을 통해 전달된 것으로 추정된다.


이 파일을 통해 여러 단계의 감염 단계를 거쳐 PowMix가 설치된다.


구체적으로, 이 공격은 PowerShell 로더를 실행하는데 사용되는 Windows 바로가기(LNK)를 이용한다.


이 로더는 압축 파일에 포함된 악성코드를 추출하고, 암호를 해독한 후 메모리에서 실행한다.


이전에 볼 수 없었던 이 봇넷은 원격 접속, 정찰 및 원격 코드 실행을 용이하게 하도록 설계되었다.


또한 예약된 작업을 통해 지속성을 확보한다. 


동시에 작업 스케줄러를 통해 감염된 호스트에서 동일한 악성코드의 다른 인스턴스가 실행되고 있지 않은지 확인한다. 


PowMix의 원격 관리 로직은 C2 서버에서 전송되는 두 가지 유형의 명령을 처리한다.


일반 응답이 수신되면 PowMix는 임의 실행 모드로 전환하여 획득한 페이로드를 복호화하고 실행한다. 


다음과 같이 #으로 시작하는 특수 명령도 존재한다.

- #KILL: 자체 삭제 루틴을 시작하고, 모든 악성 아티팩트의 흔적을 완전히 삭제 

- #HOST: C2 마이그레이션을 새 서버 URL로 활성화 


이와 동시에, 규정 준수를 가장한 미끼 문서를 보내 주의를 분산시키기도 한다. 


해당 미끼 문서에는 실제 브랜드와 보상 데이터 및 유효한 법률 조항이 포함되어 있다.


이는 신뢰도를 높이기 위한 목적이다.




[그림 1. PowMix 봇넷 공격 흐름]



이번 공격은 2025년 8월 말에 공개된 "집라인(ZipLine)" 공격과 일부 유사점이 있다.


집라인(ZipLine)은 공급망에 중요한 제조 기업들을 대상으로 믹셸(MixShell)이라는 인메모리 악성 코드를 사용한 공격이다.


여기에는 동일한 ZIP 기반 페이로드 유포 방식과 작업 스케줄러를 통한 지속성 확보, 그리고 Heroku를 C2로 악용하는 점이 포함된다.


다만 현재까지 봇넷 악성코드 외에 추가 페이로드는 확인되지 않았으며, 정확한 공격 목적은 여전히 불분명하다.


한 보안 연구진은 "PowMix는 C2 서버와의 지속적인 연결을 유지하지 않는다"고 밝혔다.


대신 PowerShell의 Get-Random 명령을 사용해 통신 간격을 가변적으로 조정하나.


초기에는 0~261초 사이, 이후에는 1,075~1,450초 사이로 변경된다.


이 방식은 예측 가능한 네트워크 시그니처를 통해 C2 트래픽이 탐지되는 것을 방지하기 위한 것이다. 


이번 공격은 론도독스(RondoDox) 봇넷과 관련된 감염 경로를 밝히면서 이루어졌다.


해당 악성코드가 기존의 분산 서비스 거부(DDoS) 공격 기능 외에도 XMRig를 사용하여, 감염된 시스템에서 불법적으로 암호화폐를 채굴하는 방향으로 진화하고 있음을 보여준다.


분석 결과, 해당 악성코드는 지속적으로 관리되고 있는 것으로 나타났다.


탐지 회피, 높은 복원력, 경쟁 악성코드 제거 기능, 그리고 확장된 기능 세트를 갖춘 것이 특징이다.


RondoDox는 다양한 인터넷 연결 애플리케이션에서 170개 이상의 알려진 취약점을 악용하여 초기 접근 권한을 획득한다. 


이후 기본적인 안티 분석을 수행하고 경쟁 악성코드를 제거한 후, 해당 아키텍처에 맞는 봇넷 바이너리를 설치하는 쉘 스크립트를 실행할 수 있다.


한 보안 연구진은 "해당 악성코드는 여러 검사를 수행하고 분석을 방해하는 다양한 기법을 적용한다"고 밝혔다.


nanomite 사용, 파일 이름 변경 및 삭제, 프로세스 종료, 실행 중 디버거 탐지 등이 포함된다.


또한 "이 봇은 C2에서 전달되는 명령과 인자에 따라 인터넷 계층, 전송 계층, 애플리케이션 계층에서 DoS 공격을 수행할 수 있다"고 설명했다.




출처

https://thehackernews.com/2026/04/newly-discovered-powmix-botnet-hits.html

목록