Il gruppo di cybercriminali noto come Mimo è tornato sotto i riflettori per aver cambiato bersaglio e tattiche, puntando questa volta a piattaforme come Magento CMS e Docker, dopo aver precedentemente sfruttato vulnerabilità note di Craft CMS per attività di cryptojacking e proxyjacking. Il modus operandi di Mimo si distingue per la costante ricerca di nuove vulnerabilità (N-day) nei sistemi web, sfruttate per installare miner di criptovalute e strumenti di proxyware, con l’obiettivo finale di ottenere guadagni economici sia tramite il mining che la monetizzazione della banda di rete delle vittime.

Abuso di vulnerabilità PHP-FPM e persistenza tramite GSocket

Le ultime campagne attribuite a Mimo si basano sull’abuso di vulnerabilità non specificate di PHP-FPM all’interno di installazioni Magento. Attraverso questi exploit, gli attaccanti ottengono l’accesso iniziale ai sistemi per poi installare GSocket, uno strumento open source legittimo usato solitamente per il penetration testing. GSocket consente di mantenere l’accesso persistente al sistema grazie a una reverse shell, mascherandosi tra i processi di sistema per eludere i controlli di sicurezza.

Tecniche di esecuzione fileless e rootkit

Un’altra tecnica rilevante adottata da Mimo prevede l’uso di payload che vengono caricati esclusivamente in memoria sfruttando la funzione memfd_create, così da eseguire il loader ELF “4l4md4r” senza lasciare tracce su disco. Questo loader è responsabile dell’installazione sia del proxyware IPRoyal che del miner XMRig, e agisce anche modificando il file /etc/ld.so.preload per iniettare un rootkit che nasconde la presenza degli artefatti malevoli.

Modello di business: mining e proxyware

Il modello di business di Mimo si basa su un approccio doppio: da una parte, il mining di criptovalute sfruttando la CPU delle macchine infette; dall’altra, la vendita della banda di rete in eccesso tramite proxyware, per consentire l’uso illecito di proxy residenziali. L’utilizzo del proxyware, che consuma poche risorse, rende difficile l’individuazione, assicurando che anche se il miner viene rimosso, la componente proxy possa continuare a generare profitti.

Attacchi a Docker e malware modulare

Il gruppo dimostra inoltre una notevole adattabilità, attaccando anche istanze Docker mal configurate e accessibili pubblicamente, in cui avviano nuovi container ed eseguono comandi malevoli per scaricare ulteriori payload. Il malware impiegato in questi scenari, scritto in Go, è modulare e multifunzione: garantisce persistenza, esegue operazioni sui file, termina processi, esegue codice in memoria, funge da dropper per altri malware e tenta di propagarsi anche su altri sistemi tramite attacchi SSH brute-force.