یک تهدیدکننده با انگیزه مالی از آسیب‌پذیری CVE-2025-32432 در سیستم مدیریت محتوای Craft CMS برای استقرار چندین بارگذار مخرب شامل استخراج‌کننده ارز دیجیتال، لودر Mimo و پروکسی‌ور مسکونی استفاده کرده است. این آسیب‌پذیری با حداکثر شدت در نسخه‌های 3.9.15، 4.14.15 و 5.6.17 رفع شده و ابتدا در آوریل 2025 توسط Orange Cyberdefense SensePost افشا گردید.

مهاجمان پس از دستیابی غیرمجاز به سیستم‌های هدف، یک وب شل برای دسترسی مداوم نصب کرده و سپس اسکریپت “4l4md4r.sh” را دانلود و اجرا می‌کنند. این اسکریپت ابتدا نشانه‌های آلودگی قبلی را بررسی کرده، استخراج‌کننده‌های ارز دیجیتال رقیب را حذف می‌کند و سپس Mimo Loader را اجرا می‌کند که IPRoyal proxyware و XMRig miner را مستقر می‌کند. این فعالیت به گروه تهدید Mimo نسبت داده شده که از مارس 2022 فعال بوده و قبلاً از آسیب‌پذیری‌های Apache Log4j، Atlassian Confluence، PaperCut و Apache ActiveMQ استفاده کرده است. تحقیقات نشان می‌دهد این گروه از ترکیه فعالیت می‌کند و واکنش سریعی به آسیب‌پذیری‌های جدید نشان می‌دهد.