Se ha observado que un actor de amenaza con motivación financiera que explota un defecto de ejecución de código remoto recientemente revelado que afecta el sistema de administración de contenido de artesanía (CMS) para implementar múltiples cargas enseres, incluido un minero de criptomonedas, un cargador denominado cargador MIMO y proxyware residencial.
La vulnerabilidad en cuestión es CVE-2025-32432, una falta de pesadez máxima en CMS artesanales que fue parcheado en las versiones 3.9.15, 4.14.15 y 5.6.17. La existencia del defecto de seguridad fue revelada por primera vez en abril de 2025 por Orange CyberDefense SensePost posteriormente de que se observó en los ataques a principios de febrero.
Según un nuevo documentación publicado por Sekoia, los actores de amenaza detrás de la campaña armaron CVE-2025-32432 para obtener comunicación no facultado a los sistemas de destino y luego implementar un shell web para permitir un comunicación remoto persistente.
El shell web se usa para descargar y ejecutar un script de shell («4l4md4r.sh») desde un servidor remoto usando curl, wget o la biblioteca de python urllib2.
«Con respecto al uso de Python, el atacante importa la biblioteca Urllib2 bajo el FBI de seudónimo. Esta dilema inusual de nombres puede ser una remisión intencional, posiblemente un insinuación de la lenguaje en la descarga a la agencia federal estadounidense, y se destaca como una dilema de codificación distintiva», dijeron los investigadores de Sekoia Jeremy Scion y Pierre Le Bourhis.
«Esta convención de nombres podría servir como un indicador útil para la detección, especialmente en la caza de amenazas o el prospección retroactivo de la actividad sospechosa de Python».
El script de shell, por su parte, primero verifica indicadores o infección previa, así como desinstala cualquier lectura de un minero de criptomonedas conocido. Incluso termina todos los procesos XMRIG activos y otras herramientas de criptominización competitivas, si las hay, antaño de entregar cargas enseres de la próxima etapa y difundir un binario ELF llamado «4L4MD4R».
El ejecutable, conocido como MIMO Loader, modifica «/etc/ld.so.preload», un archivo docto por el enlazador dinámico, para ocultar la presencia del proceso de malware («alamdar.so»). El objetivo final del cargador es implementar el proxyware IProyal y el minero XMRIG en el host comprometido.
Esto permite al actor de amenaza no solo forzar de los medios del sistema para la minería ilícita de criptomonedas, sino además monetizar el pancho de pandilla de Internet de la víctima para otras actividades maliciosas, las técnicas comúnmente conocidas como criptojacking y proxyjacking, respectivamente.
The threat activity has been attributed to an intrusion set dubbed Mimo (aka Mimo), which is believed to be active since March 2022, previously relying on vulnerabilities in Apache Log4j (CVE-2021-44228), Atlassian Confluence (CVE-2022-26134), PaperCut (CVE-2023–27350), and Apache ActiveMQ (CVE-2023-46604) para implementar el minero.
El rama de piratería, según un documentación publicado por AhnLab en enero de 2024, además se ha observado que organiza ataques de ransomware en 2023 utilizando una cepa basada en GO conocida como Mimus, que es una ramal del tesina Mauricrypt de código descubierto.
Sekoia dijo que los esfuerzos de explotación se originan en una dirección IP turca («85.106.113 (.) 168») y que descubrió evidencia de código descubierto que señala que Mimo es un actor de amenaza que está físicamente emplazado en el país.
«Inicialmente identificado a principios de 2022, el conjunto de intrusiones MIMO se ha caracterizado por su explotación constante de vulnerabilidades a los enseres del despliegue de Cryptominer», dijo la compañía de seguridad cibernética francesa. «La investigación en curso confirma que MIMO permanece activo y eficaz, continuando explotando vulnerabilidades recientemente reveladas».
«El corto plazo observado entre la publicación de CVE-2025-32432, la emancipación de una prueba de concepto correspondiente (POC) y su posterior asimilación por el conjunto de intrusiones, refleja un stop nivel de capacidad de respuesta y agilidad técnica».
