Тысячи интернет-магазинов круглосуточно работают на хакеров, а владельцы платят за электричество
NewsMakerБандиты модифицируют системные файлы для внедрения руткитов и сокрытия следов.
Преступная группировка Mimo, известная своими атаками с целью установки криптовалютных майнеров, изменила тактику и начала эксплуатировать новые цели — популярную платформу электронной коммерции Magento и неправильно сконфигурированные экземпляры Docker. Ранее её активность была зафиксирована в связи с атаками на Craft CMS, где использовалась критическая уязвимость CVE-2025-32432 . Тогда специалисты Sekoia выяснили , что целью был запуск XMRig и прокси-софта для монетизации CPU и интернет-канала жертв.
Сейчас, по данным Datadog Security Labs, Mimo, также известная как Hezb, расширила инструментарий. В новой серии атак используется уязвимость в PHP-FPM, внедрённая через модуль Magento , что указывает на способность группы применять более сложные техники, чем ранее фиксировавшиеся.
Первоначальный доступ осуществляется через командную инъекцию в PHP-FPM, после чего на систему загружается утилита GSocket . Этот легитимный инструмент для тестирования безопасности применяется злоумышленниками для организации обратного шелла и постоянного присутствия на хосте. При этом процесс GSocket маскируется под системный поток, чтобы не вызывать подозрений при анализе процессов.
На этом злоумышленники не останавливаются. Для маскировки и повышения стойкости атаки они задействуют технику запуска ELF-бинарников в памяти без записи на диск — через системный вызов memfd_create(). Это позволяет исполнять полезную нагрузку прямо из памяти, делая её невидимой для большинства антивирусов . Внутри памяти загружается исполняемый загрузчик под названием «4l4md4r», который устанавливает два компонента: IPRoyal Proxyware и XMRig. Для сокрытия следов присутствия применяется модификация файла «/etc/ld.so.preload», что позволяет внедрить руткит и скрыть присутствие всех зловредных компонентов.
Такой подход позволяет группе реализовать двухуровневую схему монетизации: добыча криптовалюты с помощью XMRig использует вычислительные ресурсы заражённой машины, а IPRoyal превращает её в узел в платной сети прокси, продавая исходящий трафик злоумышленникам. При этом прокси-сервис почти не нагружает процессор и остаётся незаметным даже при обнаружении и остановке майнинга, что позволяет атаке приносить доход длительное время.
Кроме Magento, группа активно атакует публично доступные и слабо защищённые Docker-инстансы. В этих случаях злоумышленники инициируют запуск новых контейнеров, в которых выполняется вредоносная команда для скачивания дополнительного модуля с внешнего сервера.
Вредонос написан на языке Go и обладает модульной архитектурой, включающей функции для устойчивости, операций с файловой системой, завершения процессов и запуска других компонентов в памяти. Он также служит платформой для установки GSocket и IPRoyal и способен распространяться на другие системы через подбор SSH-паролей.
Таким образом, Mimo уже не ограничивается эксплуатацией CMS. Применяя комплексную инфраструктуру, маскировку и внедрение в память, группировка демонстрирует повышенную техническую оснащённость. Её действия больше не ограничиваются лишь быстрым получением дохода за счёт криптомайнинга — теперь вектор смещается в сторону долгосрочной оккупации ресурсов, использования сетевого трафика и проникновения в корпоративные среды через Docker и популярные e-commerce платформы.
Преступная группировка Mimo, известная своими атаками с целью установки криптовалютных майнеров, изменила тактику и начала эксплуатировать новые цели — популярную платформу электронной коммерции Magento и неправильно сконфигурированные экземпляры Docker. Ранее её активность была зафиксирована в связи с атаками на Craft CMS, где использовалась критическая уязвимость CVE-2025-32432 . Тогда специалисты Sekoia выяснили , что целью был запуск XMRig и прокси-софта для монетизации CPU и интернет-канала жертв.
Сейчас, по данным Datadog Security Labs, Mimo, также известная как Hezb, расширила инструментарий. В новой серии атак используется уязвимость в PHP-FPM, внедрённая через модуль Magento , что указывает на способность группы применять более сложные техники, чем ранее фиксировавшиеся.
Первоначальный доступ осуществляется через командную инъекцию в PHP-FPM, после чего на систему загружается утилита GSocket . Этот легитимный инструмент для тестирования безопасности применяется злоумышленниками для организации обратного шелла и постоянного присутствия на хосте. При этом процесс GSocket маскируется под системный поток, чтобы не вызывать подозрений при анализе процессов.
На этом злоумышленники не останавливаются. Для маскировки и повышения стойкости атаки они задействуют технику запуска ELF-бинарников в памяти без записи на диск — через системный вызов memfd_create(). Это позволяет исполнять полезную нагрузку прямо из памяти, делая её невидимой для большинства антивирусов . Внутри памяти загружается исполняемый загрузчик под названием «4l4md4r», который устанавливает два компонента: IPRoyal Proxyware и XMRig. Для сокрытия следов присутствия применяется модификация файла «/etc/ld.so.preload», что позволяет внедрить руткит и скрыть присутствие всех зловредных компонентов.
Такой подход позволяет группе реализовать двухуровневую схему монетизации: добыча криптовалюты с помощью XMRig использует вычислительные ресурсы заражённой машины, а IPRoyal превращает её в узел в платной сети прокси, продавая исходящий трафик злоумышленникам. При этом прокси-сервис почти не нагружает процессор и остаётся незаметным даже при обнаружении и остановке майнинга, что позволяет атаке приносить доход длительное время.
Кроме Magento, группа активно атакует публично доступные и слабо защищённые Docker-инстансы. В этих случаях злоумышленники инициируют запуск новых контейнеров, в которых выполняется вредоносная команда для скачивания дополнительного модуля с внешнего сервера.
Вредонос написан на языке Go и обладает модульной архитектурой, включающей функции для устойчивости, операций с файловой системой, завершения процессов и запуска других компонентов в памяти. Он также служит платформой для установки GSocket и IPRoyal и способен распространяться на другие системы через подбор SSH-паролей.
Таким образом, Mimo уже не ограничивается эксплуатацией CMS. Применяя комплексную инфраструктуру, маскировку и внедрение в память, группировка демонстрирует повышенную техническую оснащённость. Её действия больше не ограничиваются лишь быстрым получением дохода за счёт криптомайнинга — теперь вектор смещается в сторону долгосрочной оккупации ресурсов, использования сетевого трафика и проникновения в корпоративные среды через Docker и популярные e-commerce платформы.