**Microsoft** ha emitido una alerta sobre **Storm-1175**, un grupo de cibercrimen chino que explota activamente vulnerabilidades conocidas y zero-day para distribuir el ransomware **Medusa** en ataques de alta velocidad. ### Explotación Rápida de Vulnerabilidades Esta banda de cibercrimen demuestra una notable capacidad para adaptarse rápidamente y atacar nuevas vulnerabilidades de seguridad, obteniendo acceso a las redes de las víctimas con una velocidad alarmante. En algunos casos, han utilizado exploits en un solo día y explotado vulnerabilidades una semana antes de que estuvieran disponibles los parches. "Storm-1175 se mueve rápidamente desde el acceso inicial hasta la exfiltración de datos y el despliegue del ransomware Medusa, a menudo en pocos días y, en algunos casos, en menos de 24 horas", afirmó **Microsoft** en una reciente publicación de su blog de seguridad.  Su ritmo operativo y su competencia en la identificación de activos perimetrales expuestos han demostrado ser exitosos. Intrusiones recientes han afectado gravemente a los sectores de salud, educación, servicios profesionales y finanzas en Australia, el Reino Unido y Estados Unidos. ### Cadena de Ataque y Persistencia **Microsoft** ha observado a los operadores de **Storm-1175** encadenando múltiples exploits para establecer persistencia en los sistemas comprometidos. Esto incluye la creación de nuevas cuentas de usuario, el despliegue de software de monitoreo y administración remota (RMM), el robo de credenciales y la desactivación de software de seguridad antes de desplegar payloads de ransomware.  *Cadena de ataque de Storm-1175 (Microsoft)* ### Exploits Notables En octubre, **Microsoft** informó que **Storm-1175** había estado explotando una vulnerabilidad crítica en **GoAnywhere** MFT (**CVE-2025-10035**) en ataques de ransomware **Medusa** durante más de una semana antes de que se lanzara un parche. Otro exploit zero-day notable utilizado por **Storm-1175** fue **CVE-2026-23760**, una omisión de autenticación en el servidor de correo electrónico y herramienta de colaboración **SmarterMail** de **SmarterTools**. **Microsoft** señaló que, si bien los ataques recientes del grupo demuestran una capacidad de desarrollo evolucionada, el targeting previo de **GoAnywhere** MFT por parte de atacantes de ransomware y las similitudes entre la vulnerabilidad de **SmarterMail** y una falla divulgada anteriormente pueden haber facilitado la actividad de explotación zero-day. ### Amplia Gama de Vulnerabilidades Atacadas En campañas recientes, **Storm-1175** ha explotado más de 16 vulnerabilidades en 10 productos de software, incluyendo: * **Microsoft Exchange** (**CVE-2023-21529**) * **Papercut** (**CVE-2023-27351** y **CVE-2023-27350**) * **Ivanti Connect Secure** y **Policy Secure** (**CVE-2023-46805** y **CVE-2024-21887**) * **ConnectWise ScreenConnect** (**CVE-2024-1709** y **CVE-2024-1708**) * **JetBrains TeamCity** (**CVE-2024-27198** y **CVE-2024-27199**) * **SimpleHelp** (**CVE-2024-57726**, **CVE-2024-57727**, y **CVE-2024-57728**) * **CrushFTP** (**CVE‑2025‑31161**) * **SmarterMail** (**CVE-2025-52691**) * **BeyondTrust** (**CVE-2026-1731**) ### Advertencias y Conexiones Previas En marzo de 2025, **CISA**, el **FBI** y el **MS-ISAC** emitieron un aviso conjunto, advirtiendo que los ataques de ransomware **Medusa** habían afectado a más de 300 organizaciones de infraestructura crítica en Estados Unidos. En julio de 2024, **Microsoft** vinculó a **Storm-1175**, junto con otros tres grupos de cibercrimen, a ataques de ransomware **Black Basta** y **Akira** que explotaron una falla de omisión de autenticación en **VMware ESXi**.