**Microsoft** a émis une alerte concernant **Storm-1175**, un groupe cybercriminel chinois qui exploite activement des vulnérabilités connues et zero-day pour déployer le ransomware **Medusa** dans des attaques à haute vélocité. ### Exploitation rapide des vulnérabilités Cette bande de cybercriminels fait preuve d'une capacité remarquable à s'adapter rapidement et à cibler de nouvelles vulnérabilités de sécurité, accédant aux réseaux des victimes avec une rapidité alarmante. Dans certains cas, ils ont développé des exploits en une seule journée et exploité des vulnérabilités une semaine avant la publication des correctifs. « Storm-1175 passe rapidement de l'accès initial à l'exfiltration de données et au déploiement du ransomware Medusa, souvent en quelques jours et, dans certains cas, en moins de 24 heures », a déclaré **Microsoft** dans un récent article de blog sur la sécurité.  Leur rythme opérationnel et leur maîtrise de l'identification des actifs périmétriques exposés se sont avérés efficaces. Les intrusions récentes ont lourdement impacté les secteurs de la santé, de l'éducation, des services professionnels et de la finance en Australie, au Royaume-Uni et aux États-Unis. ### Chaîne d'attaque et persistance **Microsoft** a observé les opérateurs de **Storm-1175** enchaîner plusieurs exploits pour établir la persistance sur les systèmes compromis. Cela inclut la création de nouveaux comptes utilisateurs, le déploiement de logiciels de surveillance et de gestion à distance (RMM), le vol d'identifiants et la désactivation des logiciels de sécurité avant le déploiement des payloads de ransomware.  *Chaîne d'attaque de Storm-1175 (Microsoft)* ### Exploits notables En octobre, **Microsoft** a signalé que **Storm-1175** exploitait une vulnérabilité critique de **GoAnywhere** MFT (**CVE-2025-10035**) dans des attaques de ransomware **Medusa** pendant plus d'une semaine avant la publication d'un correctif. Un autre exploit zero-day notable utilisé par **Storm-1175** était **CVE-2026-23760**, un contournement d'authentification dans le serveur de messagerie et l'outil de collaboration **SmarterMail** de **SmarterTools**. **Microsoft** a noté que si les attaques récentes du groupe démontrent une capacité de développement évoluée, le ciblage antérieur de **GoAnywhere** MFT par des attaquants de ransomware et les similitudes entre la vulnérabilité **SmarterMail** et une faille précédemment divulguée ont pu faciliter l'activité d'exploitation zero-day. ### Large éventail de vulnérabilités ciblées Dans des campagnes récentes, **Storm-1175** a exploité plus de 16 vulnérabilités sur 10 produits logiciels, notamment : * **Microsoft Exchange** (**CVE-2023-21529**) * **Papercut** (**CVE-2023-27351** et **CVE-2023-27350**) * **Ivanti Connect Secure** et **Policy Secure** (**CVE-2023-46805** et **CVE-2024-21887**) * **ConnectWise ScreenConnect** (**CVE-2024-1709** et **CVE-2024-1708**) * **JetBrains TeamCity** (**CVE-2024-27198** et **CVE-2024-27199**) * **SimpleHelp** (**CVE-2024-57726**, **CVE-2024-57727**, et **CVE-2024-57728**) * **CrushFTP** (**CVE‑2025‑31161**) * **SmarterMail** (**CVE-2025-52691**) * **BeyondTrust** (**CVE-2026-1731**) ### Avertissements et liens précédents En mars 2025, la **CISA**, le **FBI** et le **MS-ISAC** ont publié un avis conjoint, avertissant que les attaques de ransomware **Medusa** avaient touché plus de 300 organisations d'infrastructures critiques à travers les États-Unis. En juillet 2024, **Microsoft** a lié **Storm-1175**, ainsi que trois autres groupes cybercriminels, aux attaques de ransomware **Black Basta** et **Akira** qui avaient exploité une faille de contournement d'authentification **VMware ESXi**.