Se ha observado que un actor de amenaza con motivación financiera que explota un defecto de ejecución de código remoto recientemente revelado que afecta el sistema de gestión de contenido de artesanía (CMS) para implementar múltiples cargas útiles, incluido un minero de criptomonedas, un cargador denominado cargador MIMO y proxyware residencial.
La vulnerabilidad en cuestión es CVE-2025-32432, una falla de gravedad máxima en CMS artesanales que fue parcheado en las versiones 3.9.15, 4.14.15 y 5.6.17. La existencia del defecto de seguridad fue revelada por primera vez en abril de 2025 por Orange CyberDefense SensePost después de que se observó en los ataques a principios de febrero.
Según un nuevo informe publicado por Sekoia, los actores de amenaza detrás de la campaña armaron CVE-2025-32432 para obtener acceso no autorizado a los sistemas de destino y luego implementar un shell web para permitir un acceso remoto persistente.
El shell web se usa para descargar y ejecutar un script de shell («4l4md4r.sh») desde un servidor remoto usando curl, wget o la biblioteca de python urllib2.
«Con respecto al uso de Python, el atacante importa la biblioteca Urllib2 bajo el FBI de alias. Esta elección inusual de nombres puede ser una referencia intencional, posiblemente un guiño de la lengua en la descarga a la agencia federal estadounidense, y se destaca como una elección de codificación distintiva», dijeron los investigadores de Sekoia Jeremy Scion y Pierre Le Bourhis.
«Esta convención de nombres podría servir como un indicador útil para la detección, especialmente en la caza de amenazas o el análisis retroactivo de la actividad sospechosa de Python».
El script de shell, por su parte, primero verifica indicadores o infección previa, así como desinstala cualquier versión de un minero de criptomonedas conocido. También termina todos los procesos XMRIG activos y otras herramientas de criptominización competitivas, si las hay, antes de entregar cargas útiles de la próxima etapa y lanzar un binario ELF llamado «4L4MD4R».
El ejecutable, conocido como MIMO Loader, modifica «/etc/ld.so.preload», un archivo leído por el enlazador dinámico, para ocultar la presencia del proceso de malware («alamdar.so»). El objetivo final del cargador es implementar el proxyware IProyal y el minero XMRIG en el host comprometido.
Esto permite al actor de amenaza no solo abusar de los recursos del sistema para la minería ilícita de criptomonedas, sino también monetizar el ancho de banda de Internet de la víctima para otras actividades maliciosas, las técnicas comúnmente conocidas como criptojacking y proxyjacking, respectivamente.
The threat activity has been attributed to an intrusion set dubbed Mimo (aka Mimo), which is believed to be active since March 2022, previously relying on vulnerabilities in Apache Log4j (CVE-2021-44228), Atlassian Confluence (CVE-2022-26134), PaperCut (CVE-2023–27350), and Apache ActiveMQ (CVE-2023-46604) para implementar el minero.
El grupo de piratería, según un informe publicado por AhnLab en enero de 2024, también se ha observado que organiza ataques de ransomware en 2023 utilizando una cepa basada en GO conocida como Mimus, que es una bifurcación del proyecto Mauricrypt de código abierto.
Sekoia dijo que los esfuerzos de explotación se originan en una dirección IP turca («85.106.113 (.) 168») y que descubrió evidencia de código abierto que señala que Mimo es un actor de amenaza que está físicamente ubicado en el país.
«Inicialmente identificado a principios de 2022, el conjunto de intrusiones MIMO se ha caracterizado por su explotación constante de vulnerabilidades a los efectos del despliegue de Cryptominer», dijo la compañía de seguridad cibernética francesa. «La investigación en curso confirma que MIMO permanece activo y operativo, continuando explotando vulnerabilidades recientemente reveladas».
«El corto plazo observado entre la publicación de CVE-2025-32432, la liberación de una prueba de concepto correspondiente (POC) y su posterior adopción por el conjunto de intrusiones, refleja un alto nivel de capacidad de respuesta y agilidad técnica».