Die Welt der Cybersicherheit steht erneut vor einer bedeutenden Herausforderung: Die Hackergruppe Mimo hat eine kritische Sicherheitslücke mit der Kennzeichnung CVE-2025-32432 innerhalb des populären Content-Management-Systems Craft CMS genutzt, um Schadsoftware inklusive Cryptominer und Proxyware erfolgreich auf fremden Systemen zu installieren. Diese Angriffe unterstreichen die dringende Notwendigkeit für Unternehmen und Webseitenbetreiber, ihre Systeme stets aktuell zu halten und auf potenzielle Bedrohungen zu reagieren. Craft CMS ist ein weit verbreitetes Content-Management-System, das von Unternehmen zur Erstellung und Verwaltung ihrer Websites verwendet wird. Die entdeckte Schwachstelle ist eine Remote Code Execution (RCE) Lücke, was bedeutet, dass Angreifer aus der Ferne beliebigen Code auf einer betroffenen Website ausführen können, ohne direkten Zugang zum System zu besitzen. Die Kritikalität der Sicherheitslücke wurde mit der höchsten Schwere eingestuft, was das enorme Risiko für betroffene Organisationen verdeutlicht.
Die Schwachstelle CVE-2025-32432 wurde im April 2025 öffentlich bekannt gegeben, nachdem bereits im Februar desselben Jahres Angriffe beobachtet wurden. Craft CMS veröffentlichte daraufhin Sicherheitsupdates für die Versionen 3.9.15, 4.14.
15 und 5.6.17, die die kritische Lücke schließen. Dennoch verdeutlicht das schnelle und erfolgversprechende Ausnutzen durch Mimo die oft kurze Zeitspanne, in der aus der Veröffentlichung einer Schwachstelle ein realer Angriff erfolgt kann. Spezialisten von Sicherheitsunternehmen wie Sekoia analysierten die Vorgehensweise der Hackergruppe und stellten fest, dass die Angreifer mittels der Sicherheitslücke einen Webshell auf die Zielsysteme bringen.
Diese Webshell fungiert als Hintertür für die Angreifer, um dauerhaft Zugriff auf die Systeme zu haben. Über diesen Kanal laden die Hacker anschließend ein Shell-Skript mit der Bezeichnung „4l4md4r.sh“ herunter und führen es aus. Interessanterweise verwenden die Täter in dem Skript die Python-Bibliothek urllib2 unter dem Alias „fbi“ – ein ungewöhnlicher und markanter Codename, der als Hinweis bei forensischen Analysen dienen kann. Das Shell-Skript prüft zunächst, ob auf dem infizierten System bereits schädliche Software vorhanden ist.
Es entfernt potenzielle konkurrierende Krypto-Miner und beendet aktiv laufende Prozesse, die Ressourcen beanspruchen könnten. Diese Phase sichert dem Angreifer exklusiven Zugriff auf die Systemressourcen. Anschließend wird eine ausführbare ELF-Datei namens „4l4md4r“ gestartet, die als sogenannter Mimo Loader bezeichnet wird. Der Mimo Loader verändert die Systemdatei „/etc/ld.so.
preload“, welche von dynamischen Linkern verwendet wird. Dabei wird bösartiger Code in eine vormals vertrauenswürdige Systemdatei eingebettet, um die Präsenz der Malware zu verschleiern. Die Schadsoftware läuft somit versteckt und schwer erkennbar auf dem System. Nachdem der Mimo Loader eingerichtet ist, deployt er zwei essenzielle Komponenten: Die IPRoyal Proxyware und den XMRig Miner. Die Proxyware nutzt die Bandbreite des infizierten Systems, um den Online-Verkehr weiterzuleiten und für verschiedene illegale Zwecke wie zum Beispiel anonymisierte Kommunikation einzusetzen.
Dies wird als Proxyjacking bezeichnet und ermöglicht es den Angreifern, das Opfer unwissentlich für kriminelle Aktivitäten über seine Internetverbindung zu missbrauchen. Der XMRig Miner hingegen nutzt die Rechenleistung des Systems, um ohne das Wissen des Besitzers Kryptowährungen, insbesondere Monero (XMR), zu schürfen. Dieser Vorgang, Cryptojacking genannt, belastet die Hardware unnötig, führt zu erhöhtem Stromverbrauch und kann die Systemleistung deutlich beeinträchtigen. Bereits seit März 2022 ist die Hackergruppe Mimo aktiv, wie Erkenntnisse aus verschiedenen Sicherheitsberichten zeigen. Ihre Methoden sind geprägt von der Nutzung von Schwachstellen in weit verbreiteten Softwareprodukten.
Neben Craft CMS hat Mimo in der Vergangenheit unter anderem Apache Log4j, Atlassian Confluence, PaperCut sowie Apache ActiveMQ ausgenutzt, um Zugang zu Systemen zu erhalten und Malware zu installieren. Die technische Flexibilität und schnelle Umsetzung nach Veröffentlichung von Exploits demonstriert die hohe Agilität und Professionalität der Gruppe. Die Erkenntnisse über die Herkunft der Angriffe, unter anderem eine türkische IP-Adresse, legen nahe, dass sich die Täter physisch in der Türkei befinden. Diese geografische Eingrenzung könnte für Ermittlungsbehörden und Cybersicherheitsexperten von Bedeutung sein, um weitere Aktivitäten zu verfolgen und aufzudecken. Mimo hat sich auch im Bereich der Ransomware-Angriffe einen Namen gemacht.
So wurden im Jahr 2023 Attacken mit einer Go-basierten Ransomware namens Mimus festgestellt, welche eine Abspaltung eines bekannten Open-Source-Projektes namens MauriCrypt ist. Dieses weiterentwickelte Schadprogramm ermöglicht komplexe und schwer entdeckbare Verschlüsselungsangriffe, die Organisationen vor große Herausforderungen stellen. Die Bedrohung durch die Kombination aus Cryptojacking und Proxyware ist umfassend: Während die unautorisierte Nutzung der Rechenleistung schon gravierende finanzielle Folgen durch erhöhte Betriebskosten haben kann, verschärft die Verwendung des Systems als Proxy die Risiken durch mögliche Haftungsansprüche und das Potenzial für weitere kriminelle Aktivitäten über das kompromittierte Gerät. Für Betreiber von Websites und IT-Verantwortliche ergibt sich daraus die dringende Notwendigkeit, Craft CMS auf die aktuellste Version zu aktualisieren und kritische Systeme regelmäßig auf Anomalien und unautorisierte Zugriffe zu überprüfen. Die Einführung von Sicherheitsmechanismen wie Web Application Firewalls, Systemüberwachung und Netzwerktraffic-Analysen kann helfen, die Gefahr zu minimieren.
Gleichzeitig sollten Unternehmen sensibilisiert werden, auf Schwachstellenmeldungen und Sicherheitsupdates unverzüglich zu reagieren, um Zeitfenster für Angreifer so klein wie möglich zu halten. Ebenfalls bietet die Identifizierung ungewöhnlicher Python-Code-Signaturen, beispielsweise der Alias „fbi“ bei der Verwendung von urllib2, eine Möglichkeit für Security Operations Center (SOC) und Threat Hunting Teams, verdächtige Aktivitäten frühzeitig zu erkennen und zu stoppen. Zusätzlich ist es sinnvoll, den eigenen Umgang mit Zugriffsrechten zu überprüfen. Minimale Benutzerrechte für Anwendungen und restriktive Netzwerkzugriffe können die Auswirkungen einer Kompromittierung eindämmen und die Angriffsfläche reduzieren. Die Bedrohungslandschaft zeigt sich mit dem Beispiel von CVE-2025-32432 und dem erfolgreichen Exploit durch Mimo erneut komplex und vielschichtig.
Die Kombination aus technischer Raffinesse der Angreifer, der Breite der eingesetzten Schadsoftware und der schnellen Umsetzung von Exploits verdeutlichen, wie wichtig kontinuierliche Sicherheitsmaßnahmen sind. Abschließend bleibt festzuhalten, dass der Cyberkriminalität keine Grenzen gesetzt sind und stets mit wachsender Vielfalt an Angriffsmethoden neue Risiken entstehen. Ein proaktiver Umgang mit IT-Sicherheit, kontinuierliche Schulungen, Echtzeitüberwachung und Awareness-Programme sind elementar, um die Risiken zu minimieren und die digitale Infrastruktur nachhaltig zu schützen.
