كشف تقرير أمني حديث أن الجهة التهديدية المعروفة باسم Mimo (وتُعرف أيضاً باسم Hezb)، التي سبق لها استغلال ثغرات في نظام إدارة المحتوى Craft CMS، قد غيّرت استراتيجيتها لتستهدف نظام Magento ومنصات Docker غير المُهيأة بشكل صحيح. وتُعرف Mimo بتاريخ طويل في استغلال الثغرات الأمنية المعروفة (N-day) في تطبيقات الويب لنشر أدوات تعدين العملات المشفرة.
وأوضح باحثو Datadog Security Labs أن “الدافع الأساسي لـ Mimo ما زال ماليًا من خلال التعدين المشفر واستغلال النطاق الترددي، إلا أن تعقيد عملياتهم الأخيرة يشير إلى استعداد محتمل لارتكاب أنشطة إجرامية أكثر ربحية”.
وقد وثقت شركة Sekoia في مايو 2025 استغلال Mimo لثغرة CVE-2025-32432 الحرجة في Craft CMS، لاستخدامها في تنفيذ هجمات التعدين والتوجيه الاحتيالي (proxyjacking).
سلسلة هجمات جديدة ووسائل وصول متقدمة
تشير السلاسل الهجومية الجديدة إلى استغلال ثغرات غير محددة في PHP-FPM داخل مواقع Magento التجارية للحصول على الوصول الأولي، ومن ثم زرع أداة GSocket مفتوحة المصدر، وهي أداة اختبار اختراق تُستخدم لإنشاء اتصال عكسي عبر shell والحفاظ على وصول مستمر إلى النظام.
وأشار الباحثون إلى أن “وسيلة الوصول الأولى تعتمد على حقن أوامر PHP-FPM عبر أحد إضافات Magento، مما يدل على أن لدى Mimo قدرات استغلال متعددة تتجاوز ما تم ملاحظته سابقاً”.
ولإخفاء الأنشطة الضارة، يتم تمويه ملف GSocket على أنه خيط مشروع أو تابع للنظام، مما يساعده على الاندماج مع العمليات الشرعية التي تعمل على الجهاز.
تحميل برمجيات خبيثة في الذاكرة دون ترك أثر
ومن التقنيات البارزة الأخرى التي يستخدمها المهاجمون هي تحميل الحمولة الخبيثة مباشرة في الذاكرة باستخدام دالة memfd_create()، ما يسمح بتشغيل محمّل ELF يُدعى “4l4md4r” دون ترك أي أثر على القرص الصلب. يتولى هذا المحمّل نشر أداة IPRoyal proxyware ومُعدّن XMRig، لكن بعد تعديل ملف “/etc/ld.so.preload” لحقن rootkit يخفي وجود هذه المكونات.
نهج مزدوج لتعظيم الأرباح
تعكس هذه العملية توجّهًا مزدوجًا من قبل Mimo لزيادة العائد المالي من خلال استغلال موارد المعالجة المركزية للأجهزة المصابة لتعدين العملات المشفرة، مع استغلال النطاق الترددي للضحايا لتقديم خدمات البروكسي السكنية الاحتيالية.
وأكد الباحثون أن “استخدام برمجيات البروكسي، التي تستهلك القليل من المعالجة، يسمح للمهاجمين بالبقاء متخفين حتى في حال تم اكتشاف وإزالة أدوات التعدين، ما يضمن استمرار تدفق الأرباح”.
استهداف حاويات Docker عبر تكوينات خاطئة
لاحظت Datadog كذلك استغلال الجهة التهديدية لحاويات Docker غير المُؤمّنة، حيث يتم نشر حاوية جديدة لتنفيذ أوامر خبيثة تُحمّل حمولة إضافية من خادم خارجي ثم تُشغّلها.
ويتميز هذا البرنامج الخبيث المكتوب بلغة Go بكونه وحدويًا ومصممًا بقدرات تشمل الحفاظ على الثبات، إجراء عمليات على نظام الملفات، إنهاء العمليات، التنفيذ داخل الذاكرة، والعمل كأداة إسقاط لكل من GSocket وIPRoyal، مع محاولة الانتشار إلى أجهزة أخرى عبر هجمات القوة الغاشمة على بروتوكول SSH.
واختتم تقرير Datadog بالتأكيد على أن “هذا السلوك يدل على استعداد الجهة المهاجمة لاختراق مجموعة واسعة من الخدمات – وليس فقط مقدمي نظم إدارة المحتوى – لتحقيق أهدافها”.
