Un rapport de Microsoft indique que le groupe criminel Storm-1175, basé en Chine et motivé par des intérêts financiers, utilise des exploits de type n-day et zéro-day dans ses attaques rapides. Cette entité cybernétique adapte rapidement ses méthodes pour exploiter de nouvelles vulnérabilités de sécurité, souvent dans les 24 heures suivant leur découverte.
Microsoft décrit la rapidité avec laquelle Storm-1175 passe de l’accès initial à l’exfiltration de données et à la mise en place de Medusa, souvent en seulement quelques jours. Les récentes intrusions ont eu un impact significatif sur des organisations des secteurs de la santé, de l’éducation, des services professionnels et des finances, notamment en Australie, au Royaume-Unis et aux États-Unis.
Les opérateurs de Storm-1175 ont été observés en train de combiner plusieurs exploits pour maintenir un accès durable aux systèmes compromis. Ils créent de nouveaux comptes utilisateurs, installent des logiciels de surveillance à distance, volent des identifiants et désactivent les logiciels de sécurité avant de déployer leurs charges de ransomware.
En octobre, une vulnérabilité critique de GoAnywhere MFT (CVE-2025-10035) a été exploitée par Storm-1175 pendant plus d’une semaine avant qu’un correctif ne soit mis en place. Une autre faille exploitée est CVE-2026-23760, qui concerne un contournement d’authentification dans le serveur de messagerie SmarterMail.
Microsoft souligne que ces dernières attaques indiquent une amélioration des capacités de développement de Storm-1175, possiblement grâce à l’accès à des ressources comme les courtiers en exploits. Il est important de noter que la vulnérabilité de GoAnywhere MFT avait précédemment été la cible de groupes de ransomware, et celle de SmarterMail était similaire à une faille déjà divulguée.
Au cours de campagnes récentes, Storm-1175 a exploité plus de 16 vulnérabilités touchant 10 produits logiciels, dont Microsoft Exchange (CVE-2023-21529), Papercut (CVE-2023-27351 et CVE-2023-27350), Ivanti Connect Secure et Policy Secure (CVE-2023-46805 et CVE-2024-21887), ainsi que ConnectWise ScreenConnect (CVE-2024-1709 et CVE-2024-1708).
Des vulnérabilités dans JetBrains TeamCity (CVE-2024-27198 et CVE-2024-27199), SimpleHelp (CVE-2024-57726, CVE-2024-57727 et CVE-2024-57728), CrushFTP (CVE-2025-31161), SmarterMail (CVE-2025-52691) et BeyondTrust (CVE-2026-1731) ont également été exploitées par le groupe.
La CISA a publié en mars 2025 un avis conjoint avec le FBI et le Multi-State Information Sharing and Analysis Center (MS-ISAC), indiquant que les attaques du gang Medusa avaient touché plus de 300 organisations d’infrastructure critiques aux États-Unis. En juillet 2024, Microsoft a également lié Storm-1175 à d’autres gangs de cybercriminalité dans le cadre d’attaques de ransomware Black Basta et Akira, qui exploitaient une faille de contournement d’authentification de VMware ESXi.