De dreigingsacteur achter de exploitatie van de instanties van het kwetsbare ambacht Content Management System (CMS) heeft zijn tactiek verschoven naar Target Magento CMS en verkeerd geconfigureerde Docker -instanties.
De activiteit is toegeschreven aan een bedreigingsacteur die is gevolgd als Mimo (aka Hezb), dat een lange geschiedenis heeft van het gebruik van N-Day-beveiligingsfouten in verschillende webapplicaties om mijnwerkers van cryptocurrency te implementeren.
“Hoewel de primaire motivatie van MIMO financieel blijft, suggereert de verfijning van hun recente activiteiten door middel van cryptocurrency -mijnbouw en bandbreedte inkomsten,”, zei Datadog Security Labs in een rapport dat deze week is gepubliceerd.
MIMO’s exploitatie van CVE-2025-32432, een kritische beveiligingsfout in Craft CMS, voor cryptojacking en proxyjacking werd gedocumenteerd door Sekoia in mei 2025.
Nieuw waargenomen aanvalsketens geassocieerd met de dreigingsacteur omvatten het misbruik van onbepaalde PHP-FPM-kwetsbaarheden in Magento e-commerce-installaties om initiële toegang te verkrijgen, en vervolgens te gebruiken om gsocket te laten vallen, een legitiem open-source penetratietestgereedschap, om persistente toegang tot de gastheer te vestigen door middel van een reverse shell.
“De initiële toegangsvector is PHP-FPM-opdrachtinjectie via een Magento CMS-plug-in, wat aangeeft dat MIMO meerdere exploitcapaciteiten bezit die verder gaan dan eerder waargenomen tegenstanders,” zei onderzoekers Ryan Simon, Greg Foss en Matt Muir.
In een poging om detectie te omzeilen, maskeren de gsocket binaire binaire masquerades als een legitieme of kernelbeheerde thread zodat het ingaat met andere processen die op het systeem kunnen draaien.
Een andere opmerkelijke techniek die door de aanvallers wordt gebruikt, is het gebruik van in-memory payloads met behulp van memfd_create () om een elf binaire lader te starten genaamd “4L4MD4R” zonder enige spoor op schijf achter te laten. De lader is vervolgens verantwoordelijk voor het implementeren van de iProyal -proxyware en de XMRIG -mijnwerker op de gecompromitteerde machine, maar niet voordat het “/etc/ld.so.so.preload” -bestand wordt gewijzigd om een rootkit te injecteren om de aanwezigheid van deze artefacten te verbergen.
De verdeling van een mijnwerker en proxyware onderstreept een tweevoudige aanpak die MIMO heeft gebruikt om de financiële winst te maximaliseren. De verschillende streams voor het genereren van inkomsten zorgen ervoor dat de CPU -bronnen van gecompromitteerde machines worden gekaapt om cryptocurrency te delven, terwijl de ongebruikte internetbandbreedte van de slachtoffers inkomsten wordt gemaakt voor illegale residentiële proxydiensten.
“Bovendien maakt het gebruik van proxyware, die doorgaans minimale CPU verbruikt, een heimelijke werking mogelijk die de detectie van de extra inkomsten voorkomt, zelfs als het resource -gebruik van de crypto -mijnwerker wordt aangelegd,” zeiden de onderzoekers. “Deze meerlagige inkomsten verhoogt ook de veerkracht: zelfs als de cryptomijnwerker wordt gedetecteerd en verwijderd, kan de proxycomponent onopgemerkt blijven, waardoor de voortdurende inkomsten voor de dreigingsacteur worden gewaarborgd.”
Datadog zei dat het ook de dreigingsactoren waarnam die verkeerd geconfigureerde Docker -instanties misbruiken die publiekelijk toegankelijk zijn om een nieuwe container te spawnen, waarbinnen een kwaadwillende opdracht wordt uitgevoerd om een extra lading van een externe server op te halen en uit te voeren.
Geschreven in Go, wordt de modulaire malware uitgerust met mogelijkheden om persistentie te bereiken, het uitvoeren van I/O-bewerkingen van het bestandssysteem uit te voeren, processen te beëindigen, uitvoering van het geheugen uit te voeren. Het dient ook als een druppelaar voor gsocket en iProyal en probeert zich te verspreiden naar andere systemen via SSH brute-force-aanvallen.
“Dit toont de bereidheid van de dreigingsacteur om een divers scala aan diensten – niet alleen CMS -providers – in gevaar te brengen om hun doelstellingen te bereiken,” zei Datadog.
