Un nuovo attacco informatico ha colpito numerosi siti web che utilizzano Craft CMS, sfruttando una grave vulnerabilità identificata come CVE-2025-32432. Questa falla, scoperta e divulgata ad aprile 2025, è stata rapidamente sfruttata da criminali informatici per ottenere l’accesso non autorizzato ai sistemi delle vittime e installare software malevolo. Le versioni vulnerabili di Craft CMS sono state prontamente aggiornate dagli sviluppatori con patch di sicurezza, ma molti sistemi non ancora aggiornati sono rimasti esposti.

Attacco e tecniche impiegate

Gli attaccanti, appartenenti a un gruppo noto come Mimo (o Hezb), sono riusciti a installare una web shell come porta d’ingresso persistente. Tramite questa backdoor, hanno scaricato ed eseguito uno script denominato “4l4md4r.sh”, che consente di verificare e rimuovere eventuali infezioni precedenti e termina processi di miner di criptovalute concorrenti. Successivamente, lo script scarica altri payload, in particolare un file ELF chiamato “4l4md4r”, noto anche come Mimo Loader.

Mimo Loader e componenti malevoli

Mimo Loader è progettato per nascondere la presenza del malware e per installare due componenti principali: il miner XMRig per il mining di criptovaluta e il software proxyware IPRoyal, che trasforma il dispositivo compromesso in un nodo di una rete proxy. In questo modo, i cybercriminali monetizzano sia la potenza di calcolo del sistema per generare criptovalute (cryptojacking), sia la larghezza di banda della vittima per altre attività illecite (proxyjacking).

Caratteristiche e attività del gruppo Mimo

Un aspetto interessante di questa campagna è l’uso di Python con il modulo urllib2 rinominato in maniera insolita, dettaglio che potrebbe aiutare nell’individuazione degli attacchi durante la caccia alle minacce. Il gruppo Mimo non è nuovo a queste operazioni: in passato ha sfruttato altre vulnerabilità note come quelle di Apache Log4j, Atlassian Confluence, PaperCut e Apache ActiveMQ, dimostrando un’elevata capacità di adattamento e rapidità nello sfruttare nuovi exploit.

Le attività malevole sono partite da un indirizzo IP turco e le indagini hanno confermato la presenza attiva e l’operatività del gruppo. L’attacco si è caratterizzato per la rapidità con cui è stata sfruttata la vulnerabilità, a breve distanza dalla pubblicazione della proof-of-concept pubblica. Questo dimostra come sia fondamentale aggiornare tempestivamente i sistemi e monitorare costantemente eventuali indicatori di compromissione per prevenire danni economici e reputazionali.