Киберпреступная группа Mimo (известная как Hezb) сменила тактику, переключившись с атак на уязвимости Craft CMS (CVE-2025-32432) на эксплуатацию Magento и Docker. Цель остаётся прежней — финансовая выгода через криптоджекинг и проксиджекинг, но методы стали сложнее.
При атаках на Magento Mimo использует неизученные уязвимости PHP-FPM в плагинах CMS для внедрения команд. После взлома злоумышленники загружают инструмент GSocket, маскирующийся под системный процесс. Он создаёт обратную оболочку, обеспечивая постоянный доступ.
Ключевая новизна — техника in-memory выполнения через
Двойная монетизация — основа стратегии. XMRig крадёт вычислительные мощности для майнинга, а IPRoyal перепродаёт интернет-трафик жертв через сервисы вроде IPRoyal Pawns. Проксиджекинг потребляет минимум ресурсов, оставаясь незамеченным даже при удалении майнера. Это гарантирует постоянный доход.
Для атак на Docker Mimo сканирует публично доступные небезопасные контейнеры. В новом контейнере выполняется Go-модуль, который:
Злоумышленники демонстрируют готовность атаковать любую инфраструктуру.
Исследователи Datadog Security Labs (Райан Саймон, Грег Фосс, Мэтт Мьюир) отмечают: применение легальных инструментов вроде GSocket и модульных Go-грузов указывает на рост профессионализма Mimo. Это может предвещать более опасные кампании.
Группа активно использует N-day уязвимости, но её переход на Docker и Magento показывает адаптивность. Атаки фиксируются с мая 2025 года, а двойная модель монетизации делает их особо устойчивыми. Только комплексный мониторинг процессов и сетевой активности поможет выявить такие угрозы.
Изображение носит иллюстративный характер
При атаках на Magento Mimo использует неизученные уязвимости PHP-FPM в плагинах CMS для внедрения команд. После взлома злоумышленники загружают инструмент GSocket, маскирующийся под системный процесс. Он создаёт обратную оболочку, обеспечивая постоянный доступ.
Ключевая новизна — техника in-memory выполнения через
memfd_create(). Полезная нагрузка "4l4md4r" (ELF-загрузчик) развёртывает два вредоносных артефакта: прокси-софт IPRoyal и майнер Monero (XMRig). Для скрытности Mimo модифицирует файл /etc/ld.so.preload, внедряя руткит. Двойная монетизация — основа стратегии. XMRig крадёт вычислительные мощности для майнинга, а IPRoyal перепродаёт интернет-трафик жертв через сервисы вроде IPRoyal Pawns. Проксиджекинг потребляет минимум ресурсов, оставаясь незамеченным даже при удалении майнера. Это гарантирует постоянный доход.
Для атак на Docker Mimo сканирует публично доступные небезопасные контейнеры. В новом контейнере выполняется Go-модуль, который:
- Устанавливает GSocket и IPRoyal;
- Обеспечивает устойчивость;
- Пытается распространяться через брутфорс SSH.
Злоумышленники демонстрируют готовность атаковать любую инфраструктуру.
Исследователи Datadog Security Labs (Райан Саймон, Грег Фосс, Мэтт Мьюир) отмечают: применение легальных инструментов вроде GSocket и модульных Go-грузов указывает на рост профессионализма Mimo. Это может предвещать более опасные кампании.
Группа активно использует N-day уязвимости, но её переход на Docker и Magento показывает адаптивность. Атаки фиксируются с мая 2025 года, а двойная модель монетизации делает их особо устойчивыми. Только комплексный мониторинг процессов и сетевой активности поможет выявить такие угрозы.
