A Microsoft afirma que o Storm-1175, grupo criminoso baseado na China e motivado financeiramente, conhecido por distribuir o payload de ransomware Medusa, vem explorando vulnerabilidades n-day e zero-day em ataques de rápida execução.
O grupo muda rapidamente o foco para novas falhas de segurança com o objetivo de obter acesso às redes das vítimas, transformando algumas delas em armas em apenas um dia e, em certos casos, explorando a brecha uma semana antes da liberação dos patches.
"O Storm-1175 avança rapidamente do acesso inicial para a exfiltração de dados e a implantação do ransomware Medusa, muitas vezes em poucos dias e, em alguns casos, em até 24 horas", afirmou a Microsoft.
"O alto ritmo operacional do agente de ameaça e sua habilidade em identificar ativos expostos na borda da rede têm se mostrado eficazes, com intrusões recentes afetando de forma significativa organizações de saúde, além de empresas dos setores de educação, serviços profissionais e finanças na Austrália, no Reino Unido e nos Estados Unidos."
A Microsoft também observou que os operadores do Storm-1175 encadeiam múltiplos exploits para manter persistência nos sistemas comprometidos, criando novas contas de usuário, implantando softwares de monitoramento e gerenciamento remoto, roubando credenciais e desativando ferramentas de segurança antes de liberar os payloads de ransomware.
Em outubro, a Microsoft informou que o Storm-1175 vinha explorando uma vulnerabilidade crítica no GoAnywhere MFT, identificada como
CVE-2025-10035
, em ataques com o Medusa ransomware havia mais de uma semana antes de ela ser corrigida.
Outra falha explorada pelo grupo como zero-day foi a
CVE-2026-23760
, um bypass de autenticação no SmarterMail, servidor de e-mail e ferramenta de colaboração da SmarterTools.
"Embora esses ataques mais recentes indiquem uma capacidade de desenvolvimento mais madura ou novo acesso a recursos como exploit brokers para o Storm-1175, vale observar que o GoAnywhere MFT já havia sido alvo de ataques de ransomware e que a vulnerabilidade do SmarterMail teria sido semelhante a uma falha divulgada anteriormente", acrescentou a Microsoft.
"Esses fatores podem ter ajudado a facilitar a exploração posterior de zero-day pelo Storm-1175, que ainda depende principalmente de vulnerabilidades n-day."
Em campanhas recentes, o Storm-1175 explorou mais de 16 vulnerabilidades em 10 produtos de software, incluindo Microsoft Exchange (
CVE-2023-21529
), Papercut (
CVE-2023-27351
e
CVE-2023-27350
), Ivanti Connect Secure e Policy Secure (CVE-2023-46805 e CVE-2024-21887) e ConnectWise ScreenConnect (CVE-2024-1709 e CVE-2024-1708).
A Microsoft também identificou a exploração de falhas no JetBrains TeamCity (
CVE-2024-27198
e
CVE-2024-27199
), SimpleHelp (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728), CrushFTP (
CVE-2025-31161
), SmarterMail (
CVE-2025-52691
) e BeyondTrust (
CVE-2026-1731
).
Em março de 2025, a CISA publicou um advisory conjunto com o FBI e o Multi-State Information Sharing and Analysis Center, o MS-ISAC, alertando que os ataques do grupo de ransomware Medusa já haviam afetado mais de 300 organizações de infraestrutura crítica nos Estados Unidos.
Em julho de 2024, a Microsoft também associou o grupo Storm-1175, junto com outros três grupos criminosos, a ataques de ransomware Black Basta e Akira que exploraram uma falha de authentication bypass no VMware ESXi.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...