{"id":586,"date":"2026-04-16T19:46:24","date_gmt":"2026-04-16T19:46:24","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/16\/la-botnet-powmix-recientemente-descubierta-ataca-a-los-trabajadores-checos-utilizando-trafico-c2-aleatorio-cyberdefensa-mx\/"},"modified":"2026-04-16T19:46:24","modified_gmt":"2026-04-16T19:46:24","slug":"la-botnet-powmix-recientemente-descubierta-ataca-a-los-trabajadores-checos-utilizando-trafico-c2-aleatorio-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/16\/la-botnet-powmix-recientemente-descubierta-ataca-a-los-trabajadores-checos-utilizando-trafico-c2-aleatorio-cyberdefensa-mx\/","title":{"rendered":"La botnet PowMix recientemente descubierta ataca a los trabajadores checos utilizando tr\u00e1fico C2 aleatorio \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han advertido sobre una campa\u00f1a maliciosa activa dirigida a la fuerza laboral en la Rep\u00fablica Checa con una botnet previamente indocumentada denominada mezcla de polvo<\/strong> desde al menos diciembre de 2025.<\/p>\n

\u00abPowMix emplea intervalos aleatorios de balizas de comando y control (C2), en lugar de una conexi\u00f3n persistente al servidor C2, para evadir las detecciones de firmas de red\u00bb, dijo Chetan Raghuprasad, investigador de Cisco Talos. dicho<\/a> en un informe publicado hoy.<\/p>\n

\u00abPowMix incorpora los datos de latidos cifrados junto con identificadores \u00fanicos de la m\u00e1quina v\u00edctima en las rutas URL de C2, imitando las URL de API REST leg\u00edtimas. PowMix tiene la capacidad de actualizar din\u00e1micamente de forma remota el nuevo dominio C2 al archivo de configuraci\u00f3n de la botnet\u00bb.<\/p>\n

La cadena de ataque comienza con un archivo ZIP malicioso, probablemente entregado a trav\u00e9s de un correo electr\u00f3nico de phishing, para activar una cadena de infecci\u00f3n de varias etapas que elimina PowMix. Espec\u00edficamente, se trata de un acceso directo de Windows (LNK) que se utiliza para iniciar un cargador de PowerShell, que luego extrae el malware incrustado en el archivo, lo descifra y lo ejecuta en la memoria.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La botnet nunca antes vista est\u00e1 dise\u00f1ada para facilitar el acceso remoto, el reconocimiento y la ejecuci\u00f3n remota de c\u00f3digo, al tiempo que establece persistencia mediante una tarea programada. Al mismo tiempo, verifica el \u00e1rbol de procesos para garantizar que no se est\u00e9 ejecutando otra instancia del mismo malware en el host comprometido.<\/p>\n

La l\u00f3gica de gesti\u00f3n remota de PowMix le permite procesar dos tipos diferentes de comandos enviados desde el servidor C2. Cualquier respuesta sin prefijo # hace que PowMix cambie al modo de ejecuci\u00f3n arbitrario y descifre y ejecute la carga \u00fatil obtenida. <\/p>\n