Se ha observado que los actores de amenaza de motivación financiera aprovechan los defectos recientemente revelados en la ejecución de código remoto para influir en los sistemas de gestión de contenido artesanal (CMS) e implementar múltiples cargas útiles, incluidos los mineros de criptomonedas, cargadores conocidos como cargadores MIMO y proxyware residencial.
La vulnerabilidad en cuestión es CVE-2025-32432, una falla de gravedad máxima en el CMS de la artesanía parcheado en las versiones 3.9.15, 4.14.15 y 5.6.17. La existencia del defecto de seguridad fue revelada por primera vez en abril de 2025 por el Orange Cyber Defense Sense Post.
Según un nuevo informe publicado por Sekoia, la amenaza detrás de la campaña armó CVE-2025-32432 para obtener acceso no autorizado al sistema objetivo y implementar un shell web para permitir un acceso remoto permanente.
El shell web se usa para descargar y ejecutar scripts de shell («4l4md4r.sh») desde un servidor remoto usando curl, wget o la biblioteca de python urllib2.
«En lo que respecta al uso de Python, los atacantes importan la biblioteca de Urllib2 bajo el FBI de alias. Esta elección inusual de nombres puede ser una referencia deliberada, tal vez una lengua asentir a la agencia federal de los Estados Unidos.
«Esta convención de nombres puede servir como un indicador útil de detección, particularmente en el análisis de retrospectiva de la caza de amenazas o las actividades sospechosas de Python».
El script de shell primero verifica esa parte para indicadores o infecciones anteriores y desinstala cualquier versión de mineros de criptomonedas conocidos. También ofrece la carga útil para la siguiente etapa y termina todos los procesos XMRIG activos y otras herramientas de cifrado conflictivas antes de lanzar un binario ELF llamado «4L4MD4R».
Un archivo ejecutable conocido como MIMO Loader modifica el archivo «/etc/ld.so.preload» leído por el enlazador dinámico para ocultar la existencia de procesos de malware («alamdar.so»). El objetivo final del cargador es implementar el proxyware iproyal y el minero XMRIG en hosts comprometidos.
Esto permite a los actores de amenaza no solo abusar de los recursos del sistema para la minería ilegal de criptomonedas, sino también monetizar el ancho de banda de Internet de las víctimas para otras actividades maliciosas.
La actividad de la amenaza se atribuye a un conjunto de intrusiones llamado MIMO (también conocido como MIMO). Se cree que esto depende de una vulnerabilidad en Apache Log4J (CVE-2021-44228) antes de marzo de 2022. (CVE-2023-46604) se implementarán menores.
El grupo de piratería observó la puesta en escena de ataques de ransomware en 2023 utilizando un stock basado en GO conocido como Mimus, una bifurcación del proyecto Mauricrypt de código abierto. Según un informe publicado por AhnLab en enero de 2024, en 2023.
Sekoia dijo que los esfuerzos de explotación provienen de la dirección IP turca («85.106.113 (.) 168») y revelaron evidencia de código abierto de que Mimo es un actor de amenaza ubicado físicamente en el país.
«El conjunto de intrusiones MIMO, identificado por primera vez a principios de 2022, se caracteriza por la explotación constante de vulnerabilidades destinadas a desplegar el cifrado criptográfico», dice la compañía francesa de seguridad cibernética. «La investigación continua confirma que MIMO permanece activo y operativo, y continúa explotando las vulnerabilidades recientemente reveladas».
«El corto plazo observado entre la publicación de CVE-2025-32432, la liberación de la prueba de concepto correspondiente (POC) y la adopción posterior por el conjunto de intrusiones refleja un alto nivel de respuesta y agilidad técnica».
Source link
