Microsoft tire la sonnette d’alarme concernant les activités d’un groupe cybercriminel basé en Chine. Motivé par l’appât du gain, Storm-1175 est lié au déploiement du ransomware Medusa et agit avec rapidité. Il n’y a pas que Lazarus.
L’association de Medusa à des attaques zero-day
Le groupe profite de la fenêtre critique entre la divulgation d’une vulnérabilité de sécurité et l’application généralisée des correctifs par les entreprises.
» Storm-1175 passe rapidement de l’accès initial à l’exfiltration de données et au déploiement du ransomware Medusa, souvent en quelques jours et, dans certains cas, en moins de 24 heures « , souligne Microsoft.
La démonstration de force du groupe réside dans sa capacité à exploiter des failles zero-day, c’est-à-dire avant même qu’elles ne soient publiquement connues. Il a notamment utilisé la vulnérabilité CVE-2025-10035 dans GoAnywhere MFT et CVE-2026-23760 dans SmarterMail, une semaine avant la publication d’un correctif.
Quelles sont les techniques utilisées après l’intrusion ?
Les opérateurs de Storm-1175 ne perdent pas de temps. Leur chaîne d’attaque est optimisée pour la vitesse.
Ils établissent la persistance en créant de nouveaux comptes utilisateurs, déploient des outils de surveillance et de gestion à distance légitimes pour se déplacer latéralement, volent des identifiants et désactivent les solutions de sécurité avant de lancer la charge utile du ransomware.
Pour se fondre dans le trafic légitime et éviter la détection, le groupe s’appuie sur des outils dual-use. Des logiciels sont détournés pour maintenir un accès discret. Le recours à PowerShell, Mimikatz et Impacket pour le vol d’identifiants, rend leur activité difficile à distinguer des opérations d’administration système classiques.
Quel est l’impact et comment s’en protéger ?
Storm-1175 pratique la double extorsion : les données sont non seulement chiffrées, mais aussi exfiltrées à l’aide d’outils tels que Rclone, avec la menace de les publier sur un site de fuite si la rançon n’est pas payée.
Microsoft insiste sur la nécessité de dépasser la simple application de correctifs, de connaître la surface d’attaque externe et de sécuriser tous les actifs exposés sur internet.
Le groupe de Redmond recommande de renforcer l’hygiène des identifiants, de limiter les mouvements latéraux grâce au principe de moindre privilège et de bloquer le vol d’identifiants via des règles de sécurité spécifiques, afin de perturber la chaîne d’attaque même après une compromission initiale.