Finansal olarak motive olmuş bir tehdit oyuncusu, bir kripto para birimi madencisi, MIMO yükleyici olarak adlandırılan bir yükleyici ve konut proxyware de dahil olmak üzere birden fazla yükü dağıtmak için Craft İçerik Yönetim Sistemini (CMS) etkileyen yakın zamanda açıklanan bir uzaktan kod yürütme kusurundan yararlandığı gözlemlenmiştir.
Söz konusu güvenlik açığı CVE-2025-32432’dir, Craft CMS’de 3.9.15, 4.14.15 ve 5.6.17 sürümlerinde yamalı maksimum şiddet kusurudur. Güvenlik kusurunun varlığı ilk olarak Nisan 2025’te Orange Cyberdefense Sensepost tarafından bu Şubat ayının başlarında saldırılarda gözlendikten sonra açıklandı.
Sekoia tarafından yayınlanan yeni bir rapora göre, kampanyanın arkasındaki tehdit aktörleri, hedef sistemlere yetkisiz erişim elde etmek ve daha sonra kalıcı uzaktan erişimi sağlamak için bir web kabuğunu dağıtmak için CVE-2025-32432’yi silahlandırdı.
Web kabuğu daha sonra Curl, Wget veya Python kütüphanesi urllib2 kullanılarak uzak bir sunucudan bir kabuk komut dosyasını (“4L4MD4R.SH”) indirip yürütmek için kullanılır.
Sekoia araştırmacıları Jeremy Scion ve Pierre Le Bourhis, “Python’un kullanımı ile ilgili olarak, saldırgan urllib2 kütüphanesini takma adı FBI altında ithal ediyor. Bu olağandışı adlandırma seçimi kasıtlı bir referans olabilir-muhtemelen Amerikan federal ajansına yanakta bir dil-ve ayırt edici bir kodlama seçimi olarak öne çıkıyor.” Dedi.
Diyerek şöyle devam etti: “Bu adlandırma sözleşmesi, özellikle tehdit avlanmasında veya şüpheli piton aktivitesinin geriye dönük analizinde tespit için yararlı bir gösterge görevi görebilir.”
Kabuk komut dosyası, ilk olarak göstergeleri veya önceki enfeksiyonu kontrol eder ve ayrıca bilinen bir kripto para madencisinin herhangi bir sürümünü kaldırır. Ayrıca, gelecek aşama yükleri teslim etmeden ve “4L4MD4R” adlı bir ELF ikili başlatmadan önce tüm aktif XMRIG işlemlerini ve diğer rakip kriptominasyon araçlarını sonlandırır.
MIMO LOULER olarak bilinen yürütülebilir, kötü amaçlı yazılım işleminin varlığını gizlemek için dinamik bağlayıcı tarafından okunan bir dosya olan “/etc/ld.so.preload” ı değiştirir (“Alamdar.so”). Yükleyicinin nihai amacı, tehlikeye atılan ana bilgisayarda iProyal proxyware ve XMRIG madencisini dağıtmaktır.
Bu, tehdit oyuncusunun sadece yasadışı kripto para madenciliği için sistem kaynaklarını kötüye kullanmasına değil, aynı zamanda kurbanın internet bant genişliğini diğer kötü niyetli faaliyetler için de para kazanmasına izin verir – genellikle kriptaj ve proxyjacking olarak adlandırılan teknikler.
Tehdit faaliyeti, Mart 2022’den bu yana aktif olduğuna inanılan ve daha önce Apache Log4J’de (CVE-2021-44228), Atlassian Confruence’a (CVE-2022-26134) güvenen Mimo (AKA MIMO) olarak adlandırılan bir izinsiz giriş setine atfedildi (CVE-2022-26134), kağıtkut (CVE-2022-26134), kağıtkut (CVE-2022-26134), kağıtkut (CVE-2022-26134) (CVE-2023-46604) Madenci dağıtmak için.
Ahnlab tarafından Ocak 2024’te yayınlanan bir rapora göre, hackleme grubu, 2023’te açık kaynaklı mauricrypt projesinin çatalı olan MIMUS olarak bilinen GO tabanlı bir suş kullanılarak fidye yazılımı saldırılarının evrelenmesi gözlemlenmiştir.
Sekoia, sömürü çabalarının Türk IP adresinden kaynaklandığını söyledi (“85.106.113[.]168 “) ve Mimo’nun ülkede fiziksel olarak bulunan bir tehdit aktörü olduğunu gösteren açık kaynak kanıtlarını ortaya çıkardı.
Fransız siber güvenlik şirketi, “Başlangıçta 2022’nin başlarında tanımlanan Mimo saldırı seti, kriptominer dağıtım amacıyla güvenlik açıklarının tutarlı bir şekilde kullanılması ile karakterize edildi.” Dedi. Diyerek şöyle devam etti: “Devam eden soruşturma, MIMO’nun aktif ve operasyonel kaldığını ve yeni açıklanan güvenlik açıklarından yararlanmaya devam ettiğini doğrulamaktadır.”
Diyerek şöyle devam etti: “CVE-2025-32432’nin yayınlanması, karşılık gelen bir kavram kanıtı (POC) ve müteakip saldırı seti tarafından benimsenmesi arasında gözlenen kısa zaman dilimi, yüksek düzeyde yanıt verebilirlik ve teknik çevikliği yansıtır.”