El actor de amenaza detrás de la explotación de instancias vulnerables del sistema de gestión de contenido de artesanía (CMS) ha cambiado sus tácticas a apuntar a Magento CMS e instancias de Docker mal configuradas.
La actividad se ha atribuido a un actor de amenaza rastreado como Mimo (también conocido como HEZB), que tiene una larga historia de aprovechar fallas de seguridad N-Day en varias aplicaciones web para implementar mineros de criptomonedas.
«Aunque la motivación principal de Mimo sigue siendo financiera, a través de la minería de criptomonedas y la monetización del ancho de banda, la sofisticación de sus operaciones recientes sugiere una preparación potencial para actividades criminales más lucrativas», dijeron Datadog Security Labs en un informe publicado esta semana.
La explotación de Mimo de CVE-2025-32432, sekoia documentó un defecto de seguridad crítico en CMS CMS, para el criptojacking y el proxyjacking en mayo de 2025.
Los encierros de ataque recientemente observados asociados con el actor de amenaza implican el abuso de vulnerabilidades de PHP-FPM indeterminadas en las instalaciones de comercio electrónico de Magento para obtener acceso inicial, y luego usarlo para soltar GSocket, una herramienta legítima de prueba de penetración de código abierto, para establecer el acceso persistente al huésped por medio de un shell inverso.
«El vector de acceso inicial es la inyección de comando PHP-FPM a través de un complemento CMS Magento, lo que indica que MIMO posee múltiples capacidades de exploits más allá de la artesanía adversaria previamente observada», dijeron los investigadores Ryan Simon, Greg Foss y Matt Muir.
En un intento por evitar la detección, las disfrazadas binarias de GSocket como un hilo legítimo o administrado por el núcleo para que se mezcle con otros procesos que pueden estar funcionando en el sistema.
Otra técnica notable empleada por los atacantes es el uso de cargas útiles en memoria utilizando memfd_create () para lanzar un cargador binario ELF llamado «4L4MD4R» sin dejar ningún rastro en el disco. El cargador es entonces responsable de implementar el proxyware iproyal y el minero XMRIG en la máquina comprometida pero no antes de modificar el archivo «/etc/ld.so.preload» para inyectar un kit rootkit para ocultar la presencia de estos artefactos.
La distribución de un minero y proxyware subraya un enfoque de dos puntas adoptado por MIMO para maximizar la ganancia financiera. Las distintas corrientes de generación de ingresos aseguran que los recursos de CPU de las máquinas comprometidas se secuestren a la mina criptomonedas, mientras que el ancho de banda de Internet no utilizado de las víctimas está monetizado para servicios de proxy residenciales ilícitos.
«Además, el uso de proxyware, que generalmente consume una CPU mínima, permite una operación sigilosa que evita la detección de la monetización adicional, incluso si el uso de recursos del minero criptográfico está limitado», dijeron los investigadores. «Esta monetización de múltiples capas también mejora la resiliencia: incluso si se detecta y elimina el minero criptográfico, el componente proxy puede pasar desapercibido, asegurando ingresos continuos para el actor de amenazas».
Datadog dijo que también observó a los actores de amenaza que abusan de instancias de Docker mal configuradas que son accesibles públicamente para generar un nuevo contenedor, dentro del cual se ejecuta un comando malicioso para obtener una carga útil adicional de un servidor externo y ejecutarlo.
Escrito en GO, el malware modular viene equipado con capacidades para lograr la persistencia, realizar operaciones de E/S del sistema de archivos, terminar procesos, realizar ejecución en memoria. También sirve como cuentagotas para GSocket e IProyal, e intenta propagarse a otros sistemas a través de ataques de fuerza bruta SSH.
«Esto demuestra la disposición del actor de amenaza de comprometer una amplia gama de servicios, no solo a los proveedores de CMS, para lograr sus objetivos», dijo Datadog.