**Microsoft** emitiu um alerta sobre **Storm-1175**, um grupo de crime cibernético chinês que explora ativamente vulnerabilidades conhecidas e zero-day para implantar o ransomware **Medusa** em ataques de alta velocidade. ### Exploração Rápida de Vulnerabilidades Essa gangue de crime cibernético demonstra uma capacidade notável de se adaptar rapidamente e direcionar novas vulnerabilidades de segurança, obtendo acesso a redes de vítimas com velocidade alarmante. Em alguns casos, eles armaram exploits em um único dia e exploraram vulnerabilidades uma semana antes de os patches serem disponibilizados. "Storm-1175 se move rapidamente do acesso inicial para a exfiltração de dados e implantação do ransomware Medusa, geralmente em poucos dias e, em alguns casos, em 24 horas", afirmou a **Microsoft** em uma postagem recente em seu blog de segurança.  Seu ritmo operacional e proficiência na identificação de ativos de perímetro expostos têm se mostrado bem-sucedidos. Intrusões recentes impactaram pesadamente os setores de saúde, educação, serviços profissionais e financeiro na Austrália, Reino Unido e Estados Unidos. ### Cadeia de Ataque e Persistência A **Microsoft** observou operadores do **Storm-1175** encadeando múltiplos exploits para estabelecer persistência em sistemas comprometidos. Isso inclui a criação de novas contas de usuário, implantação de software de monitoramento e gerenciamento remoto (RMM), roubo de credenciais e desativação de software de segurança antes da implantação dos payloads de ransomware.  *Cadeia de ataque do Storm-1175 (Microsoft)* ### Exploits Notáveis Em outubro, a **Microsoft** relatou que o **Storm-1175** estava explorando uma vulnerabilidade crítica do **GoAnywhere** MFT (**CVE-2025-10035**) em ataques de ransomware **Medusa** por mais de uma semana antes do lançamento de um patch. Outro exploit zero-day notável usado pelo **Storm-1175** foi o **CVE-2026-23760**, um bypass de autenticação no servidor de e-mail e ferramenta de colaboração **SmarterMail** da **SmarterTools**. A **Microsoft** observou que, embora os ataques recentes do grupo demonstrem uma capacidade de desenvolvimento evoluída, o direcionamento anterior do **GoAnywhere** MFT por atacantes de ransomware e as semelhanças entre a vulnerabilidade do **SmarterMail** e uma falha divulgada anteriormente podem ter facilitado a atividade de exploração zero-day. ### Ampla Gama de Vulnerabilidades Alvo Em campanhas recentes, o **Storm-1175** explorou mais de 16 vulnerabilidades em 10 produtos de software, incluindo: * **Microsoft Exchange** (**CVE-2023-21529**) * **Papercut** (**CVE-2023-27351** e **CVE-2023-27350**) * **Ivanti Connect Secure** e **Policy Secure** (**CVE-2023-46805** e **CVE-2024-21887**) * **ConnectWise ScreenConnect** (**CVE-2024-1709** e **CVE-2024-1708**) * **JetBrains TeamCity** (**CVE-2024-27198** e **CVE-2024-27199**) * **SimpleHelp** (**CVE-2024-57726**, **CVE-2024-57727**, e **CVE-2024-57728**) * **CrushFTP** (**CVE‑2025‑31161**) * **SmarterMail** (**CVE-2025-52691**) * **BeyondTrust** (**CVE-2026-1731**) ### Avisos e Conexões Anteriores Em março de 2025, a **CISA**, o **FBI** e o **MS-ISAC** emitiram um aviso conjunto, alertando que ataques de ransomware **Medusa** haviam impactado mais de 300 organizações de infraestrutura crítica nos Estados Unidos. Em julho de 2024, a **Microsoft** associou o **Storm-1175**, juntamente com outras três gangues de crime cibernético, a ataques de ransomware **Black Basta** e **Akira** que exploraram uma falha de bypass de autenticação do **VMware ESXi**.