Um ator de ameaças motivado financeiramente foi observado explorando uma falha de execução remota de código recentemente divulgada que afeta o Craft Content Management System (CMS), para implantar múltiplos payloads, incluindo um minerador de criptomoedas, um loader conhecido como Mimo Loader, e proxyware residencial.
A vulnerabilidade em questão é a
CVE-2025-32432
, uma falha de máxima severidade no Craft CMS que foi corrigida nas versões 3.9.15, 4.14.15 e 5.6.17.
A existência do defeito de segurança foi divulgada pela primeira vez em abril de 2025 pela Orange Cyberdefense SensePost, após ser observada em ataques no início de fevereiro.
De acordo com um novo relatório publicado pela Sekoia, os atores de ameaças por trás da campanha armaram a
CVE-2025-32432
para obter acesso não autorizado aos sistemas alvo e, em seguida, implantar um web shell para habilitar acesso remoto persistente.
O web shell é então usado para baixar e executar um script shell ("4l4md4r.sh") de um servidor remoto usando curl, wget ou a biblioteca Python urllib2.
"Quanto ao uso do Python, o atacante importa a biblioteca urllib2 sob o alias fbi. Essa escolha de nome incomum pode ser uma referência intencional — possivelmente uma piscadela para a agência federal americana — e se destaca como uma escolha de codificação distinta", disseram os pesquisadores da Sekoia, Jeremy Scion e Pierre Le Bourhis.
Essa convenção de nomeação pode servir como um indicador útil para detecção, especialmente em caça de ameaças ou análise retroativa de atividades Python suspeitas. O script shell, por sua vez, primeiro verifica indicadores de infecção anterior, bem como desinstala qualquer versão de um minerador de criptomoedas conhecido.
Ele também encerra todos os processos XMRig ativos e outras ferramentas de criptomineração concorrentes, se houver, antes de entregar payloads úteis de próxima etapa e lançar um binário ELF chamado "4l4md4r." O executável, conhecido como Mimo Loader, modifica "/etc/ld.so.preload", um arquivo lido pelo vinculador dinâmico, para ocultar a presença do processo de malware ("alamdar.so").
O objetivo final do loader é implantar o proxyware IPRoyal e o minerador XMRig no host comprometido.
Isso permite que o ator de ameaças não apenas abuse dos recursos do sistema para mineração ilícita de criptomoedas, mas também monetize a largura de banda de Internet da vítima para outras atividades maliciosas — técnicas comumente referidas como cryptojacking e proxyjacking, respectivamente.
A atividade de ameaça foi atribuída a um conjunto de intrusão apelidado de Mimo (também conhecido como Mimo), que se acredita estar ativo desde março de 2022, anteriormente dependendo de vulnerabilidades em Apache Log4j (
CVE-2021-44228
), Atlassian Confluence (
CVE-2022-26134
), PaperCut (CVE-2023–27350) e Apache ActiveMQ (
CVE-2023-46604
) para implantar o minerador.
O grupo de hackers, segundo um relatório publicado pela AhnLab em janeiro de 2024, também foi observado organizando ataques de ransomware em 2023 usando uma cepa baseada em Go conhecida como Mimus, que é um fork do projeto open-source MauriCrypt.
A Sekoia disse que os esforços de exploração se originam de um endereço IP turco ("85.106.113[.]168") e que descobriu evidências de código aberto que apontam para Mimo sendo um ator de ameaça localizado fisicamente no país.
"Inicialmente identificado no início de 2022, o conjunto de intrusão Mimo tem sido caracterizado por sua exploração consistente de vulnerabilidades com o propósito de implantação de criptominerador", disse a empresa francesa de cibersegurança.
A investigação contínua confirma que o Mimo permanece ativo e operacional, continuando a explorar vulnerabilidades recém-divulgadas. O curto período de tempo observado entre a publicação da
CVE-2025-32432
, o lançamento de um proof-of-concept (PoC) correspondente e sua subsequente adoção pelo conjunto de intrusão, reflete um alto nível de responsividade e agilidade técnica.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...