El grupo con base en China ha comprometido más de 300 organizaciones de infraestructura crítica explotando 16 vulnerabilidades en productos como GoAnywhere MFT y SmarterMail. Atacan healthcare, educación y finanzas en Estados Unidos, Reino Unido y Australia.
Microsoft Threat Intelligence ha publicado una investigación detallada sobre Storm-1175, un actor de amenazas con base en China que opera como afiliado del ransomware Medusa y que ha desarrollado una capacidad de ataque de alta velocidad sin precedentes. El grupo ha logrado comprimir el ciclo completo de un ataque, desde el acceso inicial hasta la exfiltración de datos y el despliegue del ransomware en tan solo 24 horas en algunos casos, aprovechando una combinación de vulnerabilidades zero-day y N-day en sistemas expuestos a internet.
Según el reporte publicado este 6 de abril por Microsoft, Storm-1175 ha explotado más de 16 vulnerabilidades en al menos 10 productos diferentes, incluyendo Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, GoAnywhere MFT, SmarterMail y BeyondTrust.
Lo que distingue a este grupo es su capacidad para weaponizar vulnerabilidades recién divulgadas de forma casi inmediata en un caso, explotaron un fallo en SAP NetWeaver apenas un día después de su publicación el 24 de abril de 2025 e incluso para utilizar exploits zero-day hasta siete días antes de que las vulnerabilidades fueran reveladas públicamente.
El impacto de estas campañas ha sido particularmente severo en sectores críticos. La Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA) emitió en marzo de 2025 un aviso conjunto con el FBI alertando que Medusa había comprometido a más de 300 organizaciones de infraestructura crítica solo en Estados Unidos. Los sectores más afectados incluyen healthcare, educación, servicios profesionales y finanzas, con víctimas documentadas también en Australia y Reino Unido.
La cadena de ataque de Storm-1175 comienza con la identificación sistemática de activos perimetrales vulnerables. Tras obtener acceso inicial mediante la explotación de vulnerabilidades en aplicaciones web, el grupo despliega web shells o herramientas legítimas de monitoreo remoto (RMM) como AnyDesk, Atera, MeshAgent o ConnectWise ScreenConnect para establecer persistencia. Estos programas legítimos funcionan como infraestructura de doble uso, permitiendo al actor mezclar tráfico malicioso con plataformas cifradas de confianza y reducir la probabilidad de detección.
Para el movimiento lateral, Storm-1175 utiliza binarios que ya forman parte del sistema (LOLBins) como PowerShell y PsExec, junto con Impacket y Mimikatz para la recolección de credenciales. Un detalle particularmente preocupante es que el grupo ha desarrollado scripts para extraer contraseñas del software de respaldos Veeam, lo que les permite conectarse a hosts remotos y desplegar el ransomware en sistemas adicionales conectados a la red.
La etapa final implica el uso de Bandizip para la compresión de datos robados y Rclone para la exfiltración hacia servidores controlados por el actor, completando el esquema de doble extorsión que caracteriza a Medusa desde su aparición en junio de 2021. Las organizaciones con entornos de alta presión como hospitales, aseguradoras y bancos —que tienen poca tolerancia al tiempo de inactividad, infraestructura de borde compleja y un retraso constante en el parcheo— representan el blanco ideal para un actor que puede detectar activos expuestos y explotarlos antes de que los defensores puedan reaccionar.
FUENTE ORIGINAL
Microsoft Security Blog↗CURADO POR
Alejandro Vargas