Un actor de amenazas con sede en China conocido por implementar el ransomware Medusa ha sido vinculado al uso como arma de una combinación de vulnerabilidades de día cero y día N para orquestar ataques de «alta velocidad» e irrumpir en sistemas susceptibles conectados a Internet.
«El alto ritmo operativo del actor de amenazas y su habilidad para identificar activos perimetrales expuestos han demostrado ser exitosos, con intrusiones recientes que han impactado fuertemente a las organizaciones de atención médica, así como a aquellas en los sectores de educación, servicios profesionales y finanzas en Australia, el Reino Unido y los Estados Unidos», dijo el equipo de Microsoft Threat Intelligence. dicho.
Ataques montados por Tormenta-1175 También han aprovechado exploits de día cero, en algunos casos, antes de que se revelaran públicamente, así como vulnerabilidades reveladas recientemente para obtener acceso inicial. Algunos incidentes han involucrado al actor de amenazas encadenando múltiples exploits (por ejemplo, OWASSRF) para una actividad posterior al compromiso.
Una vez que logra afianzarse, el actor cibercriminal con motivación financiera actúa rápidamente para exfiltrar datos e implementar el ransomware Medusa en un lapso de unos pocos días o, en incidentes selectos, dentro de 24 horas.
Para ayudar en estos esfuerzos, el grupo crea persistencia creando nuevas cuentas de usuario, implementando web shells o software legítimo de administración y monitoreo remoto (RMM) para el movimiento lateral, realizando robo de credenciales e interfiriendo con el funcionamiento normal de las soluciones de seguridad, antes de eliminar el ransomware.
Desde 2023, Storm-1175 se ha relacionado con la explotación de más de 16 vulnerabilidades:
Se dice que tanto CVE-2025-10035 como CVE-2026-23760 fueron explotados como días cero antes de ser divulgados públicamente. A finales de 2024, el equipo de hackers ha demostrado habilidad para atacar sistemas Linux, incluida la explotación de instancias vulnerables de Oracle WebLogic en varias organizaciones. Sin embargo, aún se desconoce la vulnerabilidad exacta que se utilizó como arma en estos ataques.
«Storm-1175 rota los exploits rápidamente durante el tiempo entre la divulgación y la disponibilidad o adopción del parche, aprovechando el período en el que muchas organizaciones permanecen desprotegidas», dijo Microsoft.
Algunas de las tacticas notables observadas en estos ataques son las siguientes:
- Uso de binarios que viven fuera de la tierra (LOLBins), incluidos PowerShell y PsExec, junto con Impacket para movimiento lateral.
- Confiar en PDQ Deployer tanto para el movimiento lateral como para la entrega de carga útil, incluido el ransomware Medusa, en toda la red.
- Modificar las políticas de Firewall de Windows para habilitar el Protocolo de escritorio remoto (RDP) y enviar cargas útiles maliciosas a otros dispositivos.
- Realización de volcado de credenciales mediante Impacket y Mimikatz.
- Configurar las exclusiones de Microsoft Defender Antivirus para evitar que bloquee las cargas útiles de ransomware.
- Aprovechando Bandizip y Rclone para la recopilación y exfiltración de datos, respectivamente.
La implicación más importante aquí es que las herramientas RMM como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect o SimpleHelp se están convirtiendo en infraestructuras de doble uso para operaciones encubiertas, ya que permiten a los actores de amenazas combinar tráfico malicioso en plataformas cifradas y confiables y reducir la probabilidad de detección.
