El grupo de ciberdelincuentes chino rastreado como Storm-1175 se ha consolidado como uno de los actores más agresivos en el ecosistema del ransomware. Según Microsoft Threat Intelligence, esta operación combina vulnerabilidades zero-day (desconocidas públicamente en el momento de su explotación) y N-day (ya divulgadas pero aún sin parchear en muchas organizaciones) para comprometer con gran rapidez sistemas expuestos a Internet y desplegar el Medusa ransomware.
Objetivos prioritarios y geografía de las campañas de Storm-1175
Las víctimas más afectadas por Storm-1175 se concentran en sanidad, educación, servicios profesionales y sector financiero. Estos entornos manejan grandes volúmenes de información sensible y dependen de una alta disponibilidad de sus sistemas, lo que incrementa la presión para pagar el rescate cuando se produce un cifrado masivo.
Las campañas se han observado principalmente en Australia, Reino Unido y Estados Unidos, si bien el perfil de objetivos encaja con cualquier organización con activos críticos expuestos a Internet. El grupo realiza un escaneo intensivo del perímetro en busca de aplicaciones web, puertas de enlace VPN, servidores de correo y otros servicios accesibles públicamente, correlacionando de forma casi inmediata los sistemas detectados con vulnerabilidades conocidas o recién descubiertas.
Explotación combinada de vulnerabilidades zero-day y N-day
Storm-1175 destaca por aprovechar tanto vulnerabilidades zero-day como fallos recientemente divulgados que muchas empresas aún no han mitigado. De acuerdo con Microsoft, desde 2023 se ha vinculado al grupo con la explotación de más de 16 vulnerabilidades, entre ellas CVE-2025-10035 y CVE-2026-23760, utilizadas inicialmente como zero-day antes de su publicación oficial.
En varios incidentes, el grupo ha encadenado múltiples fallos en “cadenas de exploits” diseñadas para eludir la autenticación, escalar privilegios y facilitar el movimiento lateral. Algunas de estas técnicas se asemejan al enfoque OWASSRF, que combina vulnerabilidades en servicios web y mecanismos de redirección de solicitudes para obtener control sobre servidores internos, un patrón especialmente crítico en infraestructuras de correo y aplicaciones corporativas expuestas.
Nuevo foco en Linux y Oracle WebLogic en ataques con Medusa ransomware
Hacia finales de 2024 se observa un viraje claro de Storm-1175 hacia entornos Linux, con un interés particular en instalaciones vulnerables de Oracle WebLogic. Aunque la vulnerabilidad específica explotada no se ha hecho pública, la búsqueda sistemática y compromiso de estos servidores muestra una tendencia consolidada: los atacantes ya no se limitan a sistemas Windows, sino que amplían su radio de acción a plataformas multiplataforma y middleware crítico muy utilizado en grandes organizaciones.
De la intrusión al cifrado: Medusa ransomware en menos de 24 horas
Una de las características más preocupantes de Storm-1175 es la velocidad operativa. En múltiples casos documentados por Microsoft, el intervalo entre el acceso inicial y el despliegue de Medusa ransomware ha sido inferior a 24 horas. En la mayoría de los incidentes, todo el ciclo —intrusión, reconocimiento, movimiento lateral, exfiltración y cifrado— se completa en pocos días, reduciendo al mínimo la ventana de detección y respuesta.
Tácticas de persistencia y movimiento lateral de Storm-1175
Tras el acceso inicial, Storm-1175 emplea un conjunto amplio de técnicas para consolidar su presencia y preparar el ataque de ransomware:
- Creación de cuentas locales y de dominio con privilegios elevados para mantener acceso incluso si se cambian contraseñas legítimas.
- Instalación de web shells en servidores web comprometidos, lo que permite ejecutar comandos de forma remota mediante peticiones HTTP aparentemente legítimas.
- Uso de herramientas de RMM (Remote Monitoring and Management) legítimas —como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect o SimpleHelp— para establecer acceso remoto persistente.
- Robo de credenciales desde memoria, archivos de configuración y almacenes de contraseñas, facilitando el movimiento lateral sin necesidad de exploits adicionales.
- Desactivación o evasión de antivirus, EDR y otras soluciones de seguridad antes de activar el cifrado de datos.
El uso de software RMM comercial convierte estas herramientas en una infraestructura de doble uso: el tráfico malicioso se confunde con tareas legítimas de administración remota, viaja cifrado y suele pasar inadvertido para controles de seguridad tradicionales basados en firmas o listas de aplicaciones permitidas.
El ciclo vulnerabilidad–parche–explotación y la gestión de riesgos
Microsoft subraya que Storm-1175 adapta con gran rapidez su catálogo de exploits al ritmo de publicación de nuevos boletines de seguridad. Cada CVE crítico recién divulgado abre una ventana de oportunidad en la que muchas organizaciones aún no han aplicado parches, pero los atacantes ya han automatizado la explotación a escala global. Informes de la industria, como los de Verizon o ENISA, coinciden en señalar que la explotación de vulnerabilidades sigue siendo una de las principales vías de entrada en incidentes de ransomware.
Para reducir la superficie de ataque frente a grupos como Storm-1175 y limitar el impacto de Medusa ransomware, es clave adoptar un enfoque riguroso de gestión de vulnerabilidades y endurecimiento del perímetro. Esto implica priorizar el parcheo de sistemas expuestos a Internet, activar una segmentación de red estricta, controlar de forma granular el uso de herramientas RMM (solo proveedores y servidores de gestión autorizados), reforzar la monitorización con análisis de comportamiento de cuentas y procesos, y ensayar de manera periódica planes de respuesta a incidentes de ransomware. Cada minuto ganado entre la detección de actividad sospechosa y el aislamiento de los sistemas comprometidos aumenta de forma significativa las probabilidades de contener el ataque antes de que el cifrado cause un daño irreversible.
