En los últimos años Storm-1175 se ha destacado por su capacidad para convertir vulnerabilidades recién reveladas en accesos operativos casi inmediatos. Este actor, de motivación financiera y de habla china, no actúa como brazo de un estado sino como un grupo criminal independiente que prioriza la rapidez y la efectividad. Tras aprovechar un fallo en un activo expuesto a internet, el grupo suele progresar desde el acceso inicial hasta la exfiltración de datos y el despliegue del ransomware Medusa en cuestión de días y, en ocasiones, en menos de 24 horas.
Su estrategia se apoya en la rotación constante entre zero-days y n-days. Aquí n-day describe una vulnerabilidad conocida cuya corrección aún no ha sido desplegada masivamente, mientras que zero-day es un fallo explotado antes o justo en el momento de su revelación pública. Ese margen temporal entre divulgación y parche es el espacio de maniobra que permite a Storm-1175 atacar hospitales, instituciones educativas, firmas de servicios profesionales y entidades financieras, con víctimas centradas principalmente en Estados Unidos, Reino Unido y Australia.
Vectores de entrada y vulnerabilidades observadas
Microsoft Threat Intelligence ha identificado más de 16 fallos explotados por Storm-1175, impactando al menos diez productos distintos. Entre los problemas observados figuran: CVE-2026-21529 (Microsoft Exchange), CVE-2026-27351 y CVE-2026-27350 (Papercut), CVE-2026-46805 y CVE-2026-21887 (Ivanti Connect Secure y Policy Secure), así como CVE-2026-1709 y CVE-2026-1708 (ConnectWise ScreenConnect). También se registraron explotaciones contra JetBrains TeamCity (CVE-2026-27198 y CVE-2026-27199), SimpleHelp (CVE-2026-57726, CVE-2026-57727, CVE-2026-57728), CrushFTP (CVE-2026-31161), GoAnywhere MFT (CVE-2026-10035), SmarterMail (CVE-2026-52691 y CVE-2026-23760) y BeyondTrust (CVE-2026-1731).
Explotaciones tempranas y encadenamiento
La rapidez del actor se ejemplifica en el caso de CVE-2026-31324 que afectó a SAP NetWeaver: la vulnerabilidad fue divulgada el 24 de abril de 2026 y se observó explotación por parte de Storm-1175 al día siguiente, el 25 de abril de 2026. En otras intrusiones el grupo ha encadenado fallos —por ejemplo, cadenas OWASSRF en Microsoft Exchange (CVE-2026-41080 y CVE-2026-41082)— para avanzar desde el acceso inicial hasta la ejecución remota de código.
Además, se documentó explotación de al menos tres zero-day, entre ellas vulnerabilidades explotadas aproximadamente una semana antes de su divulgación pública.
Tácticas posteriores al compromiso
Una vez dentro, Storm-1175 recurre a diversas herramientas y técnicas para moverse lateralmente, mantener persistencia y ocultarse. Es común la creación de cuentas locales elevadas para mantener control administrativo. El actor utiliza LOLBins y utilidades nativas como PowerShell y PsExec junto con túneles renombrados basados en Cloudflare para pivotar por RDP; cuando RDP no está disponible, modifica políticas de cortafuegos para activarlo. También se apoya en herramientas legítimas de gestión remota y administración, conocidas por sus siglas como RMM, para mantener sesiones interactivas y desplegar cargas útiles adicionales.
Herramientas y técnicas concretas
Entre las soluciones observadas en campañas recientes aparecen Atera RMM, N-able, DWAgent, MeshAgent, ConnectWise ScreenConnect, AnyDesk y SimpleHelp. Para despliegue y movimiento lateral el grupo ha utilizado PDQ Deployer y bibliotecas o utilidades de terceros como Impacket. Además, antes del cifrado final suelen desactivar soluciones antivirus y herramientas de protección de endpoints para evitar detección y bloquear respuestas automatizadas.
Robo de credenciales y despliegue de ransomware
El hurto de credenciales es una pieza central del modus operandi. Storm-1175 ha empleado técnicas como el volcado de procesos para extraer secretos de LSASS, el uso de Mimikatz y la activación de cachés heredadas como WDigest para recuperar contraseñas. Con credenciales administrativas acceden a software de backup como Veeam para extraer claves y moverse a sistemas adicionales, y finalmente lanzan el ransomware Medusa a escala para cifrar entornos completos tras haber deshabilitado protecciones y exfiltrado datos sensibles.
Recomendaciones para defensa y mitigación
Ante este panorama, las organizaciones deben priorizar la reducción de superficie expuesta en internet: identificar activos públicos con escáneres externos, aplicar parches con rapidez y fortalecer controles de acceso. Implementar reglas de endurecimiento que limiten el uso de cuentas con privilegios locales, bloquear vectores de movimiento lateral conocidos y monitorizar el uso de herramientas administrativas legítimas son medidas clave. También conviene habilitar protecciones específicas contra volcado de credenciales y revisar las configuraciones de backups para que no se conviertan en vectores para el actor.
