Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng mới sử dụng botnet mang tên PowMix đang khiến giới chuyên gia an ninh mạng đặc biệt quan ngại khi nhắm mục tiêu trực tiếp vào người lao động tại Cộng hòa Séc, với kỹ thuật né tránh phát hiện ngày càng tinh vi.
Theo báo cáo từ các nhà nghiên cứu, PowMix đã hoạt động âm thầm ít nhất từ tháng 12/2025. Điểm đáng chú ý của botnet này nằm ở cách thức liên lạc với máy chủ điều khiển (C2): thay vì duy trì kết nối liên tục như các mã độc truyền thống, PowMix sử dụng các khoảng thời gian ngẫu nhiên để gửi tín hiệu. Điều này giúp nó tránh bị phát hiện thông qua các mẫu lưu lượng mạng có thể dự đoán.
Không chỉ vậy, PowMix còn ngụy trang lưu lượng của mình bằng cách nhúng dữ liệu được mã hóa cùng định danh thiết bị vào các URL, khiến chúng trông giống như các API hợp pháp. Đồng thời, botnet này có thể tự động cập nhật máy chủ điều khiển mới, gia tăng khả năng tồn tại và thích nghi khi bị phát hiện.
Sau khi xâm nhập, PowMix thiết lập cơ chế duy trì thông qua các tác vụ theo lịch và tiến hành kiểm tra hệ thống để tránh trùng lặp với các phiên bản khác của chính nó.
Đáng chú ý, mã độc này có thể thực thi lệnh từ xa, thu thập thông tin và thậm chí tải thêm các payload khác tùy theo chỉ thị từ máy chủ C2. Nó cũng hỗ trợ các lệnh đặc biệt như tự xóa dấu vết (#KILL) hoặc chuyển sang máy chủ điều khiển mới (#HOST).
Song song với hoạt động ngầm, PowMix còn mở các tài liệu giả mạo liên quan đến hợp đồng lao động, mức lương hoặc quy định pháp lý nhằm đánh lạc hướng nạn nhân – đặc biệt là những người đang tìm việc.
Tuy nhiên, điểm khác biệt là đến nay vẫn chưa ghi nhận payload cuối cùng ngoài chính botnet, khiến mục tiêu thực sự của chiến dịch vẫn chưa được xác định rõ. Điều này làm dấy lên lo ngại rằng PowMix có thể đang trong giai đoạn thử nghiệm hoặc chuẩn bị cho các cuộc tấn công quy mô lớn hơn.
Trong bối cảnh các cuộc tấn công mạng ngày càng nhắm đến người dùng phổ thông thông qua email lừa đảo, các chuyên gia khuyến cáo người dùng cần thận trọng với các tệp đính kèm không rõ nguồn gốc, đồng thời tăng cường các biện pháp bảo mật để giảm thiểu rủi ro.
PowMix không chỉ là một botnet mới, mà còn là dấu hiệu cho thấy cuộc chiến an ninh mạng đang bước sang một giai đoạn phức tạp và khó lường hơn bao giờ hết.
Theo báo cáo từ các nhà nghiên cứu, PowMix đã hoạt động âm thầm ít nhất từ tháng 12/2025. Điểm đáng chú ý của botnet này nằm ở cách thức liên lạc với máy chủ điều khiển (C2): thay vì duy trì kết nối liên tục như các mã độc truyền thống, PowMix sử dụng các khoảng thời gian ngẫu nhiên để gửi tín hiệu. Điều này giúp nó tránh bị phát hiện thông qua các mẫu lưu lượng mạng có thể dự đoán.
Không chỉ vậy, PowMix còn ngụy trang lưu lượng của mình bằng cách nhúng dữ liệu được mã hóa cùng định danh thiết bị vào các URL, khiến chúng trông giống như các API hợp pháp. Đồng thời, botnet này có thể tự động cập nhật máy chủ điều khiển mới, gia tăng khả năng tồn tại và thích nghi khi bị phát hiện.
Lây nhiễm qua email lừa đảo, nhiều lớp che giấu
Chuỗi tấn công của PowMix bắt đầu từ các tệp ZIP độc hại, thường được phát tán qua email lừa đảo. Khi người dùng mở tệp, một file shortcut (LNK) sẽ kích hoạt PowerShell để giải nén và chạy mã độc trực tiếp trong bộ nhớ, hạn chế để lại dấu vết trên hệ thống.Sau khi xâm nhập, PowMix thiết lập cơ chế duy trì thông qua các tác vụ theo lịch và tiến hành kiểm tra hệ thống để tránh trùng lặp với các phiên bản khác của chính nó.
Đáng chú ý, mã độc này có thể thực thi lệnh từ xa, thu thập thông tin và thậm chí tải thêm các payload khác tùy theo chỉ thị từ máy chủ C2. Nó cũng hỗ trợ các lệnh đặc biệt như tự xóa dấu vết (#KILL) hoặc chuyển sang máy chủ điều khiển mới (#HOST).
Song song với hoạt động ngầm, PowMix còn mở các tài liệu giả mạo liên quan đến hợp đồng lao động, mức lương hoặc quy định pháp lý nhằm đánh lạc hướng nạn nhân – đặc biệt là những người đang tìm việc.
Liên hệ với các chiến dịch trước, mục tiêu chưa rõ ràng
Các chuyên gia nhận thấy PowMix có nhiều điểm tương đồng với chiến dịch ZipLine từng được phát hiện trước đó, bao gồm phương thức phát tán qua file ZIP và việc sử dụng dịch vụ đám mây cho hạ tầng điều khiển.Tuy nhiên, điểm khác biệt là đến nay vẫn chưa ghi nhận payload cuối cùng ngoài chính botnet, khiến mục tiêu thực sự của chiến dịch vẫn chưa được xác định rõ. Điều này làm dấy lên lo ngại rằng PowMix có thể đang trong giai đoạn thử nghiệm hoặc chuẩn bị cho các cuộc tấn công quy mô lớn hơn.
Mối đe dọa ngày càng tinh vi
Sự xuất hiện của PowMix cho thấy xu hướng phát triển của mã độc ngày càng tinh vi, đặc biệt trong việc né tránh phát hiện và duy trì quyền truy cập lâu dài vào hệ thống nạn nhân.Trong bối cảnh các cuộc tấn công mạng ngày càng nhắm đến người dùng phổ thông thông qua email lừa đảo, các chuyên gia khuyến cáo người dùng cần thận trọng với các tệp đính kèm không rõ nguồn gốc, đồng thời tăng cường các biện pháp bảo mật để giảm thiểu rủi ro.
PowMix không chỉ là một botnet mới, mà còn là dấu hiệu cho thấy cuộc chiến an ninh mạng đang bước sang một giai đoạn phức tạp và khó lường hơn bao giờ hết.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
