China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware

1 minute de lecture

Mis à jour : April 07, 2026

Storm-1175 : Une menace agile spécialisée dans le déploiement rapide du ransomware Medusa

Le groupe cybercriminel Storm-1175, d’origine chinoise, mène des campagnes à haute intensité visant principalement les secteurs de la santé, de l’éducation, de la finance et des services professionnels. Ce groupe se distingue par sa capacité à exploiter des vulnérabilités « zero-day » et « N-day » pour s’introduire dans les systèmes exposés sur Internet, avec un déploiement du ransomware Medusa pouvant survenir en moins de 24 heures.

Points clés :

Rapidité d’exécution : Le groupe tire profit du délai critique entre la divulgation d’une faille et l’application des correctifs par les organisations.
Utilisation d’outils légitimes : Le groupe détourne des outils RMM (Remote Monitoring and Management) comme AnyDesk, Atera ou ScreenConnect pour assurer une persistance furtive et se fondre dans le trafic réseau légitime.
Tactiques post-compromission : Utilisation intensive de LOLBins (PowerShell, PsExec), de Mimikatz pour le vol d’identifiants, et neutralisation des solutions de sécurité (modifications du pare-feu, exclusions Microsoft Defender).

Vulnérabilités exploitées (CVE) : Storm-1175 a été lié à l’exploitation de plus de 16 vulnérabilités majeures, notamment :

Microsoft Exchange : CVE-2023-21529
Ivanti Connect Secure : CVE-2023-46805, CVE-2024-21887
ConnectWise ScreenConnect : CVE-2024-1708, CVE-2024-1709
JetBrains TeamCity : CVE-2024-27198, CVE-2024-27199
CrushFTP : CVE-2025-31161
Fortra GoAnywhere MFT : CVE-2025-10035 (zero-day)
SmarterTools SmarterMail : CVE-2026-23760 (zero-day), CVE-2025-52691
Autres : CVE-2023-27351/50 (Papercut), CVE-2024-57726/27/28 (SimpleHelp), CVE-2026-1731 (BeyondTrust).

Recommandations :

Gestion proactive des correctifs : Accélérer les cycles de mise à jour, particulièrement pour les équipements exposés sur le périmètre (VPN, serveurs mail, outils RMM).
Surveillance des outils RMM : Auditer et restreindre l’usage des logiciels de gestion à distance non autorisés ou inhabituels sur le réseau.
Renforcement de la posture EDR : Surveiller les modifications suspectes des exclusions antivirus et des politiques de pare-feu Windows.
Détection des comportements : Repérer l’usage anormal de binaires “Living-off-the-land” (PowerShell, Impacket) et le déploiement soudain de nouveaux comptes utilisateurs.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware

Storm-1175 : Une menace agile spécialisée dans le déploiement rapide du ransomware Medusa

Partager sur

Vous pourriez aimer

Why Your Automated Pentesting Tool Just Hit a Wall

Le “Proof-of-Concept Cliff” : Pourquoi le test d’intrusion automatisé ne suffit pas

Weekly Update 498

Automatisation du recouvrement pour les services HIBP

[Webinar] How to Close Identity Gaps in 2026 Before AI Exploits Enterprise Risk

Sécuriser les identités face à l’exploitation par l’IA en 2026

US warns of Iranian hackers targeting critical infrastructure

Menaces iraniennes sur les infrastructures critiques américaines