O ator de ameaça responsável pela exploração de instâncias vulneráveis do sistema de gerenciamento de conteúdo (CMS) Craft mudou suas táticas para mirar no Magento CMS e instâncias Docker mal configuradas.
A atividade foi atribuída a um ator de ameaça rastreado como Mimo (também conhecido como Hezb), que tem um longo histórico de aproveitar falhas de segurança N-day em várias aplicações web para implantar mineradores de criptomoedas.
"Embora a principal motivação do Mimo permaneça financeira, por meio da mineração de criptomoedas e monetização de largura de banda, a sofisticação de suas operações recentes sugere uma preparação potencial para atividades criminosas mais lucrativas," disse a Datadog Security Labs em um relatório publicado esta semana.
A exploração do Mimo da
CVE-2025-32432
, uma falha de segurança crítica no Craft CMS, para cryptojacking e proxyjacking foi documentada pela Sekoia em maio de 2025.
As novas cadeias de ataque observadas associadas ao ator de ameaça envolvem o abuso de vulnerabilidades PHP-FPM indeterminadas em instalações de e-commerce Magento para obter acesso inicial, e então usá-lo para soltar o GSocket, uma ferramenta legítima de teste de penetração de código aberto, para estabelecer acesso persistente ao host por meio de um reverse shell.
"O vetor de acesso inicial é injeção de comando PHP-FPM via um plugin do Magento CMS, indicando que o Mimo possui várias capacidades de exploração além do tradecraft adversarial previamente observado," disseram os pesquisadores Ryan Simon, Greg Foss e Matt Muir.
Na tentativa de evitar detecção, o binário do GSocket se disfarça como uma thread legítima ou gerenciada pelo kernel para que se misture com outros processos que podem estar executando no sistema.
Outra técnica notável empregada pelos atacantes é o uso de payloads em memória usando memfd_create() para lançar um carregador de binário ELF chamado "4l4md4r" sem deixar rastros no disco.
O carregador é então responsável por implantar o proxyware IPRoyal e o minerador XMRig na máquina comprometida, mas não antes de modificar o arquivo "/etc/ld.so.preload" para injetar um rootkit e ocultar a presença desses artefatos.
A distribuição de um minerador e proxyware sublinha uma abordagem dupla adotada pelo Mimo para maximizar o ganho financeiro.
Os distintos fluxos de geração de receita garantem que os recursos de CPU das máquinas comprometidas sejam sequestrados para minerar criptomoeda, enquanto a largura de banda de internet não utilizada das vítimas é monetizada para serviços de proxy residencial ilícitos.
"Além disso, o uso de proxyware, que normalmente consome CPU mínima, permite uma operação furtiva que previne a detecção da monetização adicional mesmo se o uso de recurso do minerador de cripto for limitado," disseram os pesquisadores.
Esta monetização de múltiplas camadas também aumenta a resiliência: mesmo que o minerador de cripto seja detectado e removido, o componente proxy pode permanecer despercebido, assegurando receita contínua para o ator de ameaça.
A Datadog disse que também observou os atores de ameaças abusando de instâncias Docker mal configuradas que são acessíveis publicamente para gerar um novo contêiner, dentro do qual um comando malicioso é executado para buscar um payload adicional de um servidor externo e executá-la.
Escrito em Go, o malware modular vem equipado com capacidades para alcançar persistência, conduzir operações de I/O do sistema de arquivos, terminar processos, realizar execução em memória.
Ele também serve como um dropper para GSocket e IPRoyal, e tenta se propagar para outros sistemas via ataques de força bruta SSH.
"Isso demonstra a disposição do ator de ameaça de comprometer uma gama diversa de serviços – não apenas provedores de CMS – para alcançar seus objetivos," disse a Datadog.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...