A equipe de Inteligência de Ameaças da **Microsoft** relata que o **Storm-1175** tem sido observado alavancando exploits zero-day, mesmo antes da divulgação pública, juntamente com vulnerabilidades recentemente corrigidas para obter acesso inicial. Em alguns casos, o ator de ameaça encadeia múltiplos exploits, como **OWASSRF**, para atividades pós-comprometimento. ### Exfiltração Rápida de Dados e Implantação de Ransomware Após obter um ponto de apoio, o ator cibercriminoso com motivação financeira exfiltra rapidamente dados e implanta o ransomware **Medusa**, geralmente em dias, e às vezes em apenas 24 horas. Essa implantação rápida destaca a urgência para as organizações corrigirem vulnerabilidades prontamente. ### Técnicas de Persistência e Evasão Para manter a persistência, o grupo cria novas contas de usuário, implanta web shells ou utiliza software legítimo de monitoramento e gerenciamento remoto (RMM) para movimento lateral. Eles também se envolvem em roubo de credenciais e interferem ativamente em soluções de segurança para evitar detecção. ### Vulnerabilidades Exploradas Desde 2023, o **Storm-1175** tem sido associado à exploração de mais de 16 vulnerabilidades, incluindo: * **CVE-2023-21529** (Microsoft Exchange Server) * **CVE-2023-27351** e **CVE-2023-27350** (**Papercut**) * **CVE-2023-46805** e **CVE-2024-21887** (**Ivanti** Connect Secure e Policy Secure) * **CVE-2024-1708** e **CVE-2024-1709** (**ConnectWise** ScreenConnect) * **CVE-2024-27198** e **CVE-2024-27199** (**JetBrains** TeamCity) * **CVE-2024-57726**, **CVE-2024-57727**, e **CVE-2024-57728** (SimpleHelp) * **CVE-2025-31161** (CrushFTP) * **CVE-2025-10035** (Fortra GoAnywhere MFT) * **CVE-2025-52691** e **CVE-2026-23760** (SmarterTools SmarterMail) * **CVE-2026-1731** (BeyondTrust)  É relatado que tanto **CVE-2025-10035** quanto **CVE-2026-23760** foram explorados como zero-days antes da divulgação pública. O grupo também demonstrou uma tendência a visar sistemas Linux, incluindo instâncias vulneráveis do **Oracle** WebLogic, embora a vulnerabilidade específica utilizada permaneça desconhecida. ### Recomendações e Mitigação A **Microsoft** enfatiza que o **Storm-1175** rotaciona rapidamente os exploits entre a divulgação e a disponibilidade de patches, explorando a janela em que muitas organizações permanecem desprotegidas. Táticas chave observadas incluem: * Utilização de binários living-off-the-land (LOLBins) como PowerShell e PsExec, juntamente com Impacket para movimento lateral. * Emprego do PDQ Deployer para movimento lateral e entrega de payload, incluindo o ransomware **Medusa**. * Modificação das políticas do Windows Firewall para habilitar o Remote Desktop Protocol (RDP) e entregar payloads maliciosos. * Execução de credential dumping usando Impacket e Mimikatz. * Configuração de exclusões no **Microsoft** Defender Antivirus para contornar a detecção. * Uso de Bandizip e Rclone para coleta e exfiltração de dados. O uso crescente de ferramentas RMM como AnyDesk, Atera, MeshAgent, **ConnectWise** ScreenConnect ou SimpleHelp como infraestrutura de uso duplo é uma preocupação significativa, pois permite que atores de ameaça misturem tráfego malicioso em plataformas confiáveis e criptografadas, reduzindo a probabilidade de detecção.