- Storm-1175 evade rápidamente el acceso a implementaciones de ransomware
- Uso de día cero y día n en múltiples productos
- Está dirigido a servicios sanitarios, financieros, educativos y profesionales.
El colectivo de hackers en idioma chino Storm-1175 avanza rápidamente, desde el acceso inicial hasta el compromiso total del sistema y la exfiltración de datos en semanas y, a veces, en menos de 24 horas, advierten los expertos.
Un nuevo informe de Microsoft afirma que se descubrió que el grupo aprovechaba múltiples fallas en sus operaciones, tanto de día cero como de día n. En algunos casos, combinarán diferentes errores para obtener mejores resultados.
Según los informes, Storm-1175 no es un actor patrocinado por el estado, sino un grupo independiente interesado en obtener ganancias. Se dirigen principalmente a organizaciones sanitarias, instituciones educativas, proveedores de servicios profesionales y organizaciones del sector financiero. La caza se realiza principalmente en EE. UU., Reino Unido y Australia.
El artículo continúa a continuación.
Decenas de vulnerabilidades
Esta es la forma clave en que opera el grupo: “Después de un exploit exitoso, Storm-1175 pasa rápidamente del acceso inicial a la exfiltración de datos y la implementación del ransomware Medusa, a menudo en cuestión de días y, en algunos casos, dentro de 24 horas”, dijeron los investigadores. “La alta velocidad operativa del actor de amenazas y su capacidad para identificar activos de perímetro abierto han demostrado ser exitosas”.
Para el acceso temprano, el grupo hizo slalom entre días cero y días n. Durante los días cero, se les ha visto explotando errores hasta una semana antes del lanzamiento público, y durante los días n, intentarán explotarlos lo antes posible, dando a los defensores poco tiempo para implementar parches y mitigaciones.
Hasta el momento se han identificado más de 16 vulnerabilidades que afectan a 10 productos. Estos incluyen Microsoft Exchange (CVE-2023-21529), Papercut (CVE-2023-27351 y CVE-2023-27350), Evanti Connect Secure y Policy Secure (CVE-2023-46805 y CVE-2024-218) y Connect S218 Connect (CVE-2024-1709 y CVE-2024-1709). CVE-2024-1708).
Otras menciones notables incluyen JetBrains TeamCity (CVE-2024-27198 y CVE-2024-27199), SimpleHelp (CVE-2024-57726, CVE-2024-57727 y CVE-2024-57F), CVE-2024-57F. (CVE-2025-31161), SmarterMail (CVE-2025-52691) y BeyondTrust (CVE-2026-1731).
Después de entrar, los pícaros desplegarán una gran variedad de herramientas diferentes para permitir el movimiento lateral, la persistencia y el sigilo. Antes de implementar variantes del ransomware Medusa, desactivarán cualquier antivirus o herramienta de protección de terminales instalados.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
