Een financieel gemotiveerde dreigingsacteur is geobserveerd om een recent bekendgemaakte externe code -uitvoeringsfout te benutten die van invloed is op het Craft Content Management System (CMS) om meerdere payloads te implementeren, waaronder een cryptocurrency -mijnwerker, een lader nagesynchroniseerde Mimo Loader en residentiële proxyware.
De kwetsbaarheid in kwestie is CVE-2025-32432, een maximale ernstfout in Craft CMS die werd gepatcht in versies 3.9.15, 4.14.15 en 5.6.17. Het bestaan van het beveiligingsdefect werd voor het eerst bekendgemaakt in april 2025 door Orange Cyberdefense SensePost nadat het eerder in februari werd waargenomen bij aanvallen.
Volgens een nieuw rapport gepubliceerd door Sekoia, bewapenden de dreigingsacteurs achter de campagne CVE-2025-32432 om ongeautoriseerde toegang tot de doelsystemen te verkrijgen en vervolgens een webshell te implementeren om aanhoudende externe toegang mogelijk te maken.
De webshell wordt vervolgens gebruikt om een shell -script (“4L4MD4R.sh”) van een externe server te downloaden en uit te voeren met behulp van curl, wget of de python -bibliotheek urllib2.
“Wat betreft het gebruik van Python, importeert de aanvaller de Urllib2-bibliotheek onder de alias FBI. Deze ongebruikelijke naamgevingskeuze kan een opzettelijke referentie zijn-mogelijk een tong-in-wang knik naar het American Federal Agency-en valt op als een onderscheidende coderingskeuze,” Sekoia onderzoekers Jeremy Scion en Pierre Le Bourhis.
“Deze naamgevingsconventie zou kunnen dienen als een nuttige indicator voor detectie, vooral bij het zoeken naar bedreigingen of met terugwerkende kracht van verdachte Python -activiteit.”
Het shell -script van zijn kant controleert eerst op indicatoren of eerdere infectie, en verwijdert elke versie van een bekende cryptocurrency -mijnwerker. Het beëindigt ook alle actieve XMRIG-processen en andere concurrerende cryptomining-tools, indien aanwezig, voordat u de volgende fase payloads levert en een elf binair getal met de naam “4L4MD4R” lanceert.
Het uitvoerbare bestand, bekend als MIMO Loader, wijzigt “/etc/ld.so.preload”, een bestand dat wordt gelezen door de dynamische linker, om de aanwezigheid van het malwareproces te verbergen (“alamdar.so”). Het uiteindelijke doel van de lader is het implementeren van de Iproyal Proxyware en de XMRIG -mijnwerker op de gecompromitteerde host.
Dit stelt de dreigingsacteur in staat om niet alleen de systeembronnen te misbruiken voor illegale cryptocurrency -mijnbouw, maar geldt ook voor de internetbandbreedte van het slachtoffer voor andere kwaadaardige activiteiten – technieken die gewoonlijk cryptojacking en proxyjacking worden genoemd, respectievelijk.
De dreigingsactiviteit is toegeschreven aan een indringing ingesteld door Mimo (AKA MIMO), waarvan wordt aangenomen dat het sinds maart 2022 actief is, eerder afhankelijk (CVE-2023-46604) om de mijnwerker te implementeren.
De hackgroep, volgens een rapport gepubliceerd door AhnLab in januari 2024, is ook waargenomen in 2023 ensceneringsransomware-aanvallen met behulp van een Go-gebaseerde stam bekend als Mimus, een vork van het open-source Mauricrypt-project.
Sekoia zei dat de exploitatie-inspanningen afkomstig zijn van een Turks IP-adres (“85.106.113 (.) 168”) en dat het open-source bewijsmateriaal aan het licht bracht dat MIMO een dreigingsacteur is die fysiek in het land is gevestigd.
“Aanvankelijk geïdentificeerd in het begin van 2022, werd de MIMO -inbraakset gekenmerkt door de consistente exploitatie van kwetsbaarheden met het oog op de implementatie van cryptominer,” zei het Franse cybersecuritybedrijf. “Lopend onderzoek bevestigt dat MIMO actief en operationeel blijft en nieuw bekendgemaakte kwetsbaarheden blijft exploiteren.”
“Het korte tijdsbestek dat wordt waargenomen tussen de publicatie van CVE-2025-32432, de release van een overeenkomstige proof-of-concept (POC) en de daaropvolgende acceptatie door de inbraakset weerspiegelt een hoog niveau van responsiviteit en technische behendigheid.”
