L'équipe de renseignement sur les menaces de **Microsoft** rapporte que **Storm-1175** a été observé en train d'exploiter des exploits zero-day, même avant leur divulgation publique, ainsi que des vulnérabilités récemment corrigées pour obtenir un accès initial. Dans certains cas, l'acteur malveillant enchaîne plusieurs exploits, tels que **OWASSRF**, pour des activités post-compromission. ### Exfiltration rapide de données et déploiement de ransomware Après avoir obtenu un point d'ancrage, l'acteur cybercriminel motivé par le profit exfiltre rapidement des données et déploie le ransomware **Medusa**, souvent en quelques jours, et parfois en seulement 24 heures. Ce déploiement rapide souligne l'urgence pour les organisations de patcher rapidement les vulnérabilités. ### Techniques de persistance et d'évasion Pour maintenir la persistance, le groupe crée de nouveaux comptes utilisateurs, déploie des web shells, ou utilise des logiciels légitimes de surveillance et de gestion à distance (RMM) pour le mouvement latéral. Ils s'engagent également dans le vol d'identifiants et interfèrent activement avec les solutions de sécurité pour éviter la détection. ### Vulnérabilités exploitées Depuis 2023, **Storm-1175** a été lié à l'exploitation de plus de 16 vulnérabilités, notamment : * **CVE-2023-21529** (Microsoft Exchange Server) * **CVE-2023-27351** et **CVE-2023-27350** (**Papercut**) * **CVE-2023-46805** et **CVE-2024-21887** (**Ivanti** Connect Secure et Policy Secure) * **CVE-2024-1708** et **CVE-2024-1709** (**ConnectWise** ScreenConnect) * **CVE-2024-27198** et **CVE-2024-27199** (**JetBrains** TeamCity) * **CVE-2024-57726**, **CVE-2024-57727**, et **CVE-2024-57728** (SimpleHelp) * **CVE-2025-31161** (CrushFTP) * **CVE-2025-10035** (Fortra GoAnywhere MFT) * **CVE-2025-52691** et **CVE-2026-23760** (SmarterTools SmarterMail) * **CVE-2026-1731** (BeyondTrust)  Il est rapporté que **CVE-2025-10035** et **CVE-2026-23760** ont été exploités en tant que zero-days avant leur divulgation publique. Le groupe a également montré une tendance à cibler les systèmes Linux, y compris les instances vulnérables d'**Oracle** WebLogic, bien que la vulnérabilité spécifique utilisée reste inconnue. ### Recommandations et atténuation **Microsoft** souligne que **Storm-1175** fait rapidement tourner les exploits entre la divulgation et la disponibilité des correctifs, exploitant la fenêtre pendant laquelle de nombreuses organisations restent non protégées. Les tactiques clés observées incluent : * L'utilisation de binaires "living-off-the-land" (LOLBins) tels que PowerShell et PsExec, ainsi qu'Impacket pour le mouvement latéral. * L'emploi de PDQ Deployer pour le mouvement latéral et la livraison de payload, y compris le ransomware **Medusa**. * La modification des politiques du pare-feu Windows pour activer le protocole de bureau à distance (RDP) et livrer des payloads malveillants. * La réalisation de "credential dumping" à l'aide d'Impacket et Mimikatz. * La configuration d'exclusions dans **Microsoft** Defender Antivirus pour contourner la détection. * L'utilisation de Bandizip et Rclone pour la collecte et l'exfiltration de données. L'utilisation croissante d'outils RMM tels qu'AnyDesk, Atera, MeshAgent, **ConnectWise** ScreenConnect ou SimpleHelp en tant qu'infrastructure à double usage est une préoccupation majeure, car elle permet aux acteurs malveillants de mélanger le trafic malveillant dans des plateformes fiables et cryptées, réduisant ainsi la probabilité de détection.