Un acteur malveillant basé en Chine, connu pour déployer le ransomware Medusa, a été lié à l’utilisation d’une combinaison de vulnérabilités zero-day et N-day pour orchestrer des attaques à haute vélocité et s’introduire dans des systèmes vulnérables exposés à Internet.

« Le rythme opérationnel élevé et l’expertise de cet acteur malveillant dans l’identification des actifs périmétriques exposés se sont avérés payants, les récentes intrusions ayant fortement impacté les organisations du secteur de la santé, ainsi que celles des secteurs de l’éducation, des services professionnels et de la finance en Australie, au Royaume-Uni et aux États-Unis », a déclaré l’équipe Microsoft Threat Intelligence .

Les attaques menées par Storm-1175 ont également exploité des failles zero-day, parfois avant même leur divulgation publique, ainsi que des vulnérabilités récemment découvertes pour obtenir un accès initial. Dans certains incidents, l’acteur malveillant a enchaîné plusieurs exploits (par exemple, OWASSRF ) pour poursuivre son activité après la compromission.

Une fois qu’il a pris pied, le cybercriminel, motivé par le gain financier, procède rapidement à l’exfiltration des données et au déploiement du ransomware Medusa en l’espace de quelques jours, voire, dans certains cas, en 24 heures.

Pour faciliter ces efforts, le groupe crée une persistance en créant de nouveaux comptes d’utilisateurs, en déployant des web shells ou des logiciels légitimes de surveillance et de gestion à distance (RMM) pour les déplacements latéraux, en procédant à des vols d’identifiants et en interférant avec le fonctionnement normal des solutions de sécurité, avant de déployer le ransomware.

Depuis 2023, Storm-1175 a été lié à l’exploitation de plus de 16 vulnérabilités.

• CVE-2023-21529 (Microsoft Exchange Server)
• CVE-2023-27351 et CVE-2023-27350 (Papercut)
• CVE-2023-46805 et CVE-2024-21887 (Ivanti Connect Secure et Policy Secure)
• CVE-2024-1708 et CVE-2024-1709 (ConnectWise ScreenConnect)
• CVE-2024-27198 et CVE-2024-27199 (JetBrains TeamCity)
• CVE-2024-57726 , CVE-2024-57727 et CVE-2024-57728 (SimpleHelp)
• CVE-2025-31161 (CrushFTP)
• CVE-2025-10035 (Fortra GoAnywhere MFT)
• CVE-2025-52691 et CVE-2026-23760 (SmarterTools SmarterMail)
• CVE-2026-1731 (BeyondTrust)

Les vulnérabilités  CVE-2025-10035  et CVE-2026-23760  auraient été exploitées comme des failles zero-day avant leur divulgation publique. Fin 2024, le groupe de pirates a démontré une expertise particulière dans le ciblage des systèmes Linux, notamment en exploitant des instances vulnérables d’Oracle WebLogic au sein de plusieurs organisations. Cependant, la vulnérabilité exacte utilisée lors de ces attaques demeure inconnue.

« La faille Storm-1175 exploite rapidement les vulnérabilités entre sa divulgation et la disponibilité ou l’adoption du correctif, profitant ainsi de la période pendant laquelle de nombreuses organisations restent non protégées », a déclaré Microsoft.

Voici quelques-unes des tactiques notables observées lors de ces attaques :

• Utilisation de binaires « living-off-the-land » (LOLBins), notamment PowerShell et PsExec, ainsi que d’Impacket pour les déplacements latéraux.
• S’appuyant sur PDQ Deployer pour le déplacement latéral et la distribution de charges utiles, y compris le ransomware Medusa, sur le réseau.
• Modification des règles du pare-feu Windows pour activer le protocole RDP (Remote Desktop Protocol) et transmettre des charges utiles malveillantes à d’autres appareils.
• Réalisation d’une extraction de données d’identification à l’aide d’Impacket et de Mimikatz.
• Configurer les exclusions de Microsoft Defender Antivirus pour l’empêcher de bloquer les charges utiles des ransomwares.
• Utilisation de Bandizip et Rclone pour la collecte et l’exfiltration des données, respectivement.

L’implication majeure ici est que les outils RMM comme AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect ou SimpleHelp deviennent une infrastructure à double usage pour les opérations secrètes, car ils permettent aux acteurs malveillants de mélanger le trafic malveillant à des plateformes cryptées de confiance et de réduire la probabilité de détection.