Sekoia最新的威胁情报报告显示了CVE-2025-32432的有针对性的利用活动,这是一个影响Craft CMS平台的关键未经身份验证的远程代码执行(RCE)漏洞。攻击背后的威胁行为者 – 称为Mimo或Hezb – 正在部署由webshell,加载器,密码矿工和代理软件组成的恶意软件鸡尾酒,以最大限度地从受损系统中获得利润。

在2月28日至5月2日期间,研究人员观察到Mimo利用野外的这一缺陷,使用多级感染链提供称为“alamdar”的Golang装载机,然后安装XMRig矿工和IPROyal代理软件。

该漏洞影响Craft CMS版本:

①3.0.0-RC1至<3.9.15②4.0.0-RC1至<4.14.15③5.0.0-RC1至<5.6.17

该漏洞由Orange Cyberdefense发现并于2025年4月25日公开披露,通过精心制作的HTTP请求使未经身份验证的RCE成为可能。根据Sekoia的说法:

“攻击者利用CVE-2025-32432通过部署一个webshell来促进远程访问,从而未经授权访问目标系统。

两步利用序列使用精心制作的 GET 请求来注入基于 PHP 的 webshell,然后是 POST 请求以触发反序列化错误,从而允许 shell 命令执行。

一旦进入,攻击者就会获取并执行远程感染脚本(4l4md4r.sh)。此脚本执行系统侦察,杀死竞争恶意软件,并下载三个组件:

①Alamdar Loader(英语:Alamdar Loader)②IPRoyal Proxyware(英语:IPROYal Proxyware) (hezb.x86_64)③XMRig Cryptominer(阿拉姆达尔)

“脚本执行名为4l4md4r的下载二进制文件……加载器下载并执行Residential Proxy二进制IPRoyal……和XMRig矿工。

malicious装载机使用恶意so库(alamdar.so)进行LD_PRELOAD劫持,通过拦截诸如readdir和getpid之类的系统调用来隐藏其存在。

Mimo的双重货币化策略反映了资源精明的网络犯罪分子的趋势:挖掘加密货币并通过住宅代理服务销售网络带宽。

通过广泛的OSINT和IoC分析,Sekoia将此活动与Mimo入侵集联系起来,至少自2022年以来是活跃的。别名EtxArny和N1tr0已成为可能的运营商,基于:

TikTok视频演示CVE漏洞利用。在代码和社交媒体中使用别名“4l4md4r”和“Hezb”。共享的加密货币钱包和基础设施。

敦促运行Craft CMS的组织立即修补,审查IOC模式的日志,并对系统二进制文件和出站连接实施严格控制。