El actor de amenaza detrás de la explotación de instancias vulnerables del sistema de administración de contenido de artesanía (CMS) ha cambiado sus tácticas a apuntar a Magento CMS e instancias de Docker mal configuradas.
La actividad se ha atribuido a un actor de amenaza rastreado como Mimo (todavía conocido como HEZB), que tiene una larga historia de disfrutar fallas de seguridad N-Day en varias aplicaciones web para implementar mineros de criptomonedas.
“Aunque la motivación principal de Mimo sigue siendo financiera, a través de la minería de criptomonedas y la monetización del satisfecho de pandilla, la sofisticación de sus operaciones recientes sugiere una preparación potencial para actividades criminales más lucrativas”, dijeron Datadog Security Labs en un noticia publicado esta semana.
La explotación de Mimo de CVE-2025-32432, sekoia documentó un defecto de seguridad crítico en CMS CMS, para el criptojacking y el proxyjacking en mayo de 2025.
Los encierros de ataque recientemente observados asociados con el actor de amenaza implican el extralimitación de vulnerabilidades de PHP-FPM indeterminadas en las instalaciones de comercio electrónico de Magento para obtener ataque auténtico, y luego usarlo para soltar GSocket, una utensilio legítima de prueba de penetración de código destapado, para establecer el ataque persistente al huésped por medio de un shell inverso.
“El vector de ataque auténtico es la inyección de comando PHP-FPM a través de un complemento CMS Magento, lo que indica que MIMO posee múltiples capacidades de exploits más allá de la artesanía adversaria previamente observada”, dijeron los investigadores Ryan Simon, Greg Foss y Matt Muir.
En un intento por evitar la detección, las disfrazadas binarias de GSocket como un hilo razonable o administrado por el núcleo para que se mezcle con otros procesos que pueden estar funcionando en el sistema.
Otra técnica trascendental empleada por los atacantes es el uso de cargas enseres en memoria utilizando memfd_create () para difundir un cargador binario ELF llamado “4L4MD4R” sin dejar ningún huella en el disco. El cargador es entonces responsable de implementar el proxyware iproyal y el minero XMRIG en la máquina comprometida pero no antiguamente de modificar el archivo “/etc/ld.so.preload” para inyectar un kit rootkit para ocultar la presencia de estos artefactos.
La distribución de un minero y proxyware subraya un enfoque de dos puntas prohijado por MIMO para maximizar la rendimiento financiera. Las distintas corrientes de coexistentes de ingresos aseguran que los medios de CPU de las máquinas comprometidas se secuestren a la mina criptomonedas, mientras que el satisfecho de pandilla de Internet no utilizado de las víctimas está monetizado para servicios de proxy residenciales ilícitos.
“Adicionalmente, el uso de proxyware, que generalmente consume una CPU mínima, permite una operación sigilosa que evita la detección de la monetización adicional, incluso si el uso de medios del minero criptográfico está restringido”, dijeron los investigadores. “Esta monetización de múltiples capas todavía mejoramiento la resiliencia: incluso si se detecta y elimina el minero criptográfico, el componente proxy puede ocurrir desapercibido, asegurando ingresos continuos para el actor de amenazas”.
Datadog dijo que todavía observó a los actores de amenaza que abusan de instancias de Docker mal configuradas que son accesibles públicamente para gestar un nuevo contenedor, en el interior del cual se ejecuta un comando astuto para obtener una carga útil adicional de un servidor forastero y ejecutarlo.
Escrito en GO, el malware modular viene equipado con capacidades para obtener la persistencia, realizar operaciones de E/S del sistema de archivos, terminar procesos, realizar ejecución en memoria. Incluso sirve como cuentagotas para GSocket e IProyal, e intenta propagarse a otros sistemas a través de ataques de fuerza bruta SSH.
“Esto demuestra la disposición del actor de amenaza de comprometer una amplia tonalidad de servicios, no solo a los proveedores de CMS, para obtener sus objetivos”, dijo Datadog.
