El equipo de Inteligencia de Amenazas de **Microsoft** informa que se ha observado a **Storm-1175** aprovechando exploits de día cero, incluso antes de su divulgación pública, junto con vulnerabilidades parcheadas recientemente para obtener acceso inicial. En algunos casos, el actor de amenaza encadena múltiples exploits, como **OWASSRF**, para actividades posteriores al compromiso. ### Rápida Exfiltración de Datos y Despliegue de Ransomware Tras obtener un punto de apoyo, el actor cibercriminal con motivación financiera exfiltra rápidamente datos y despliega el ransomware **Medusa**, a menudo en cuestión de días, y a veces en tan solo 24 horas. Este rápido despliegue resalta la urgencia para que las organizaciones parcheen las vulnerabilidades de manera oportuna. ### Técnicas de Persistencia y Evasión Para mantener la persistencia, el grupo crea nuevas cuentas de usuario, despliega web shells o utiliza software legítimo de monitoreo y administración remota (RMM) para el movimiento lateral. También participan en el robo de credenciales e interfieren activamente con las soluciones de seguridad para evitar la detección. ### Vulnerabilidades Explotadas Desde 2023, **Storm-1175** se ha relacionado con la explotación de más de 16 vulnerabilidades, incluyendo: * **CVE-2023-21529** (Microsoft Exchange Server) * **CVE-2023-27351** y **CVE-2023-27350** (**Papercut**) * **CVE-2023-46805** y **CVE-2024-21887** (**Ivanti** Connect Secure y Policy Secure) * **CVE-2024-1708** y **CVE-2024-1709** (**ConnectWise** ScreenConnect) * **CVE-2024-27198** y **CVE-2024-27199** (**JetBrains** TeamCity) * **CVE-2024-57726**, **CVE-2024-57727**, y **CVE-2024-57728** (SimpleHelp) * **CVE-2025-31161** (CrushFTP) * **CVE-2025-10035** (Fortra GoAnywhere MFT) * **CVE-2025-52691** y **CVE-2026-23760** (SmarterTools SmarterMail) * **CVE-2026-1731** (BeyondTrust)  Se informa que tanto **CVE-2025-10035** como **CVE-2026-23760** fueron explotados como día cero antes de su divulgación pública. El grupo también ha mostrado una tendencia a atacar sistemas Linux, incluyendo instancias vulnerables de **Oracle** WebLogic, aunque la vulnerabilidad específica utilizada sigue siendo desconocida. ### Recomendaciones y Mitigación **Microsoft** enfatiza que **Storm-1175** rota rápidamente los exploits entre la divulgación y la disponibilidad de parches, explotando la ventana en la que muchas organizaciones permanecen desprotegidas. Las tácticas clave observadas incluyen: * Utilizar binarios "living-off-the-land" (LOLBins) como PowerShell y PsExec, junto con Impacket para el movimiento lateral. * Emplear PDQ Deployer para el movimiento lateral y la entrega de payloads, incluyendo el ransomware **Medusa**. * Modificar las políticas del Firewall de Windows para habilitar el Protocolo de Escritorio Remoto (RDP) y entregar payloads maliciosos. * Realizar volcado de credenciales utilizando Impacket y Mimikatz. * Configurar exclusiones en **Microsoft** Defender Antivirus para evadir la detección. * Usar Bandizip y Rclone para la recopilación y exfiltración de datos. El creciente uso de herramientas RMM como AnyDesk, Atera, MeshAgent, **ConnectWise** ScreenConnect o SimpleHelp como infraestructura de doble uso es una preocupación significativa, ya que permite a los actores de amenazas mezclar el tráfico malicioso con plataformas confiables y cifradas, reduciendo la probabilidad de detección.