Selon VulnCheck, une exploitation active de la vulnérabilité XWiki CVE-2025-24893 a été capturée par leurs “Canaries”, révélant une chaîne d’attaque en deux étapes livrant un cryptomineur via injection de template.

• Contexte et statut KEV: VulnCheck indique que la vulnérabilité n’est pas listée dans le CISA KEV, soulignant que l’exploitation réelle peut précéder la reconnaissance officielle. L’entrée a été ajoutée au VulnCheck KEV en mars 2025 après des signalements publics de Cyble, Shadow Server et CrowdSec, puis confirmée par des observations directes des Canaries.

• Chaîne d’attaque observée: L’attaquant (géolocalisé au Vietnam) procède en deux passes séparées d’au moins 20 minutes. La première requête exploite CVE-2025-24893 (injection de template non authentifiée) pour exécuter du Groovy via {{async}}{{groovy}}, lançant un wget qui dépose un téléchargeur à /tmp/11909 depuis http://193.32.208.24:8080 (service transfer.sh). La seconde requête exécute bash /tmp/11909 pour déclencher les étapes suivantes.

• Charge utile et objectif ⛏️: Le script téléchargé (x640) récupère x521 et x522. Le script x521 installe un binaire de cryptominage nommé tcrond (UPX-packé), tandis que x522 prépare l’environnement, tue des mineurs concurrents et lance tcrond avec une configuration c3pool.org (port 80), incluant une adresse de wallet. Le binaire est décrit comme faisant partie d’une opération au “bas du spectre”.

• Infrastructure et artefacts: Tout le trafic d’attaque provient de 123.25.249.88 (Vietnam), avec des signalements récents sur AbuseIPDB. Les fichiers et hachages associés, ainsi que les scripts utilisés (x521, x522, x640), sont détaillés par VulnCheck.

• IOCs clés

  • IP observées: 123.25.249.88; 193.32.208.24
  • Domaine/Pool: auto.c3pool.org:80
  • Wallet (observé dans la commande du mineur): 49HecvWXgdgTSBDXv2ZCkMQ6Jt91Ji89yDu4kzYT5eBkYHmnqF VLztR3HZ91YC9MA2KximmjnRo99STuLvy9ZD9G1ZEmJCv
  • Fichiers/scripts: x640 (downloader), x521 (installe tcrond), x522 (démarre tcrond et tue les concurrents), tcrond (mineur, UPX)
  • Hachages (tels qu’affichés): • tcrond (UPX packed): 0b907eee9a85d39f8f0d7c503cc1f84a7 1c4de10 • tcrond (unpacked): 90d274c7600fbdca5fe035250d0baff20 889ec2b • x521: de082aeb01d41dd81cfb79bc5bfa33453 b0022ed • x522: 2abd6f68a24b0a5df5809276016e6b85c 77e5f7f • x640: 5abc337dbc04fee7206956dad1e0b6d43 921a868

• TTPs observées 🧩

  • Exploitation d’une injection de template XWiki non authentifiée (CVE-2025-24893) via {{async}}{{groovy}} pour exécuter des commandes.
  • Chaîne en deux passes (staging puis exécution différée ~20 minutes).
  • Utilisation de wget pour déposer un loader dans /tmp/11909 et récupérer des scripts depuis transfer.sh (port 8080).
  • Déploiement d’un cryptomineur (tcrond, UPX), configuration c3pool, option --randomx-1gb-pages.
  • Élimination de la concurrence: pkill de tcrond, c3pool, xmrig, kinsing, kdevtmpfsi, nanopool.
  • Hygiène anti-forensique: suppression d’historiques (.bash_history, .zsh_history, .wget-hsts).

Il s’agit d’une analyse de menace technique publiée par VulnCheck visant à documenter une exploitation active et à fournir des indicateurs concrets pour la détection.

🧠 TTPs et IOCs détectés

TTP

Exploitation d’une injection de template XWiki non authentifiée (CVE-2025-24893) via {{async}}{{groovy}} pour exécuter des commandes. Chaîne en deux passes (staging puis exécution différée ~20 minutes). Utilisation de wget pour déposer un loader dans /tmp/11909 et récupérer des scripts depuis transfer.sh (port 8080). Déploiement d’un cryptomineur (tcrond, UPX), configuration c3pool, option –randomx-1gb-pages. Élimination de la concurrence: pkill de tcrond, c3pool, xmrig, kinsing, kdevtmpfsi, nanopool. Hygiène anti-forensique: suppression d’historiques (.bash_history, .zsh_history, .wget-hsts).

IOC

{‘ip’: [‘123.25.249.88’, ‘193.32.208.24’], ‘domaine’: ‘auto.c3pool.org:80’, ‘wallet’: ‘49HecvWXgdgTSBDXv2ZCkMQ6Jt91Ji89yDu4kzYT5eBkYHmnqFVLztR3HZ91YC9MA2KximmjnRo99STuLvy9ZD9G1ZEmJCv’, ‘fichiers’: [‘x640’, ‘x521’, ‘x522’, ’tcrond’], ‘hachages’: {’tcrond_packed’: [‘0b907eee9a85d39f8f0d7c503cc1f84a7’, ‘1c4de10’], ’tcrond_unpacked’: [‘90d274c7600fbdca5fe035250d0baff20’, ‘889ec2b’], ‘x521’: [‘de082aeb01d41dd81cfb79bc5bfa33453’, ‘b0022ed’], ‘x522’: [‘2abd6f68a24b0a5df5809276016e6b85c’, ‘77e5f7f’], ‘x640’: [‘5abc337dbc04fee7206956dad1e0b6d43’, ‘921a868’]}}

🔗 Source originale : https://www.vulncheck.com/blog/xwiki-cve-2025-24893-eitw