Miles de tiendas online trabajan las 24 horas para hackers, y sus dueños pagan la electricidad

El grupo delictivo Mimo, conocido por sus ataques dirigidos a la instalación de mineros de criptomonedas, ha cambiado de táctica y ha comenzado a explotar nuevos objetivos: la popular plataforma de comercio electrónico Magento y las instancias de Docker mal configuradas. Anteriormente, su actividad fue registrada en ataques contra Craft CMS, donde se utilizó la vulnerabilidad crítica CVE-2025-32432. En ese momento, los especialistas de Sekoia descubrieron que el objetivo era ejecutar XMRig y un software proxy para monetizar la CPU y la conexión a Internet de las víctimas.

Actualmente, según datos de Datadog Security Labs, Mimo, también conocido como Hezb, ha ampliado su arsenal. En su nueva serie de ataques, utiliza una vulnerabilidad en PHP-FPM, introducida a través de un módulo de Magento, lo que indica que el grupo es capaz de emplear técnicas más sofisticadas que las observadas anteriormente.

El acceso inicial se logra mediante la inyección de comandos en PHP-FPM, tras lo cual se descarga en el sistema la utilidad GSocket. Esta herramienta legítima para pruebas de seguridad es aprovechada por los atacantes para establecer una shell inversa y mantener una presencia persistente en el host. El proceso de GSocket se disfraza como un hilo del sistema, evitando así levantar sospechas durante el análisis de procesos.

Los atacantes no se detienen ahí. Para enmascarar su actividad y aumentar la resiliencia del ataque, emplean una técnica que permite ejecutar binarios ELF directamente en memoria sin escribirlos en disco, usando la llamada al sistema memfd_create(). Esto les permite ejecutar la carga útil directamente desde la memoria, haciéndola invisible para la mayoría de los antivirus. En la memoria se carga un cargador ejecutable llamado “4l4md4r”, que instala dos componentes: IPRoyal Proxyware y XMRig. Para ocultar su presencia, se modifica el archivo “/etc/ld.so.preload”, lo que permite la inyección de un rootkit y el ocultamiento de todos los componentes maliciosos.

Este enfoque permite al grupo implementar un esquema de monetización de dos niveles: la minería de criptomonedas con XMRig aprovecha los recursos computacionales del sistema infectado, mientras que IPRoyal lo convierte en un nodo dentro de una red proxy de pago, vendiendo el tráfico saliente a otros atacantes. El servicio proxy apenas consume CPU y permanece oculto incluso si se detecta y detiene la minería, lo que permite que el ataque genere ingresos durante períodos prolongados.

Además de Magento, el grupo ataca activamente instancias públicas de Docker con poca seguridad. En estos casos, los atacantes inician nuevos contenedores en los que se ejecuta un comando malicioso para descargar un módulo adicional desde un servidor externo.

El malware está escrito en Go y tiene una arquitectura modular que incluye funciones para persistencia, operaciones con el sistema de archivos, finalización de procesos y ejecución de otros componentes en memoria. También sirve como plataforma para instalar GSocket e IPRoyal y es capaz de propagarse a otros sistemas mediante fuerza bruta de contraseñas SSH.

De este modo, Mimo ya no se limita a explotar CMS. Mediante el uso de una infraestructura compleja, técnicas de ocultamiento y ejecución en memoria, el grupo demuestra un nivel técnico más avanzado. Sus acciones ya no se enfocan únicamente en obtener ingresos rápidos a través de la criptominería, sino que apuntan hacia la ocupación prolongada de recursos, el uso del tráfico de red y la infiltración en entornos corporativos mediante Docker y plataformas de comercio electrónico populares.