Die chinesische Cybercrime-Gruppe Storm-1175 setzt laut Microsoft Threat Intelligence systematisch auf eine Kombination aus Zero-Day- und N-Day-Schwachstellen, um internet-exponierte Systeme in hoher Geschwindigkeit zu kompromittieren und Medusa Ransomware auszurollen. Auffällig ist dabei der industrielle Charakter der Kampagnen: automatisiertes Scanning, gezielte Ausnutzung verwundbarer Systeme und ein extrem kurzer Zeitraum zwischen Erstkompromittierung und Verschlüsselung.
Zielbranchen und Angriffsgebiete von Storm-1175
Besonders betroffen sind laut den beobachteten Kampagnen Organisationen aus Gesundheitswesen, Bildungssektor, Professional Services und Finanzindustrie. Die meisten Vorfälle werden in Australien, Großbritannien und den USA registriert. Diese Sektoren verarbeiten hochsensible Daten und verfügen über geschäftskritische IT-Systeme, sodass Ausfallzeiten direkt existenzbedrohend sein können – ein Umfeld, in dem Ransomware-Erpresser traditionell hohe Zahlungsbereitschaft vermuten.
Charakteristisch für Storm-1175 ist die konsequente Fokussierung auf die Angriffsoberfläche am Perimeter. Die Gruppe scannt großflächig nach verwundbaren Webanwendungen, VPN-Gateways, E-Mail-Servern und anderen aus dem Internet erreichbaren Diensten. Gefundene Systeme werden automatisiert mit bekannten Schwachstellen abgeglichen oder auf bislang nicht veröffentlichte Sicherheitslücken getestet und anschließend unmittelbar angegriffen.
Zero-Day- und N-Day-Exploits: von OWASSRF bis CVE-2025-10035
Storm-1175 kombiniert Zero-Day-Exploits – also die Ausnutzung bislang unbekannter Schwachstellen ohne verfügbaren Patch – mit N-Day-Exploits gegen frisch veröffentlichte, aber in der Praxis noch nicht flächendeckend geschlossene Lücken. In mehreren Fällen nutzte die Gruppe Exploits noch vor deren öffentlicher Offenlegung, was auf eigene Forschungsressourcen oder Zugang zu nicht öffentlichen Exploit-Kits schließen lässt.
Laut Microsoft wird Storm-1175 seit 2023 mit der Ausnutzung von mehr als 16 Schwachstellen in Verbindung gebracht, darunter CVE-2025-10035 und CVE-2026-23760, die zunächst als Zero-Day eingesetzt wurden. Häufig kommen Exploit-Ketten zum Einsatz, bei denen mehrere Schwachstellen kombiniert werden, um Privilegien zu erhöhen, Authentifizierung zu umgehen und sich tief in der Infrastruktur zu verankern. Techniken nach dem Muster von OWASSRF (Outlook Web Access + SSRF) illustrieren, wie Angreifer so aus einem einzelnen Perimeter-System bis in Domain-Controller vordringen können.
Kombinierte Exploit-Ketten als Angriffsbeschleuniger
Solche Ketten erlauben es, aus einer zunächst begrenzten Kompromittierung schnell vollständige Administratorrechte zu erlangen. Praktisch bedeutet dies: Ein ungepatchter E-Mail- oder Webserver kann innerhalb kurzer Zeit zum Sprungbrett werden, um Verzeichnisdienste, Datenbanken und Backup-Systeme zu übernehmen – ideale Voraussetzungen, um Medusa Ransomware mit maximalem Schaden zu platzieren.
Verlagerung des Fokus auf Linux und Oracle WebLogic
Gegen Ende 2024 zeigen die Aktivitäten von Storm-1175 eine klare Verschiebung hin zu Linux-basierten Umgebungen. Besonders im Visier stehen verwundbare Installationen von Oracle WebLogic. Zwar ist die konkret ausgenutzte Schwachstelle nicht öffentlich benannt, doch der gezielte Such- und Angriffsmodus auf WebLogic-Server spiegelt einen allgemeinen Trend wider: Ransomware-Gruppen weiten ihre Angriffe systematisch von klassischen Windows-Domänen auf heterogene, hybride Infrastrukturen aus.
Dies erhöht den Druck auf Unternehmen, auch Linux- und Middleware-Stacks mit demselben Sicherheitsfokus zu behandeln wie Windows-Server: strukturierte Patch-Prozesse, Härtung, Monitoring und klare Verantwortlichkeiten sind hier ebenso unverzichtbar.
Vom Erstzugriff bis zur Medusa-Verschlüsselung in unter 24 Stunden
Ein zentrales Risiko der Storm-1175-Kampagnen ist die Angriffsgeschwindigkeit. In dokumentierten Fällen vergingen zwischen dem initialen Zugriff und der Ausführung von Medusa Ransomware oft weniger als 24 Stunden. In vielen weiteren Vorfällen lag der gesamte Angriffsdurchlauf lediglich im Bereich weniger Tage. Dieses enge Zeitfenster reduziert die Chancen auf Erkennung und Intervention erheblich, insbesondere bei rein signaturbasierten Sicherheitslösungen.
Persistenz, laterale Bewegung und Missbrauch legitimer RMM-Tools
Nach der Erstkompromittierung setzt Storm-1175 auf ein breites Set etablierter Techniken, die sich gut im Rahmen von MITRE ATT&CK einordnen lassen:
- Anlegen neuer lokaler und domänenweiter Konten mit erhöhten Berechtigungen;
- Platzierung von Webshells auf kompromittierten Webservern für dauerhaften Fernzugriff;
- Installation legitimer Remote Monitoring & Management (RMM)-Tools wie AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect oder SimpleHelp;
- Credential Theft aus Speicher, Konfigurationsdateien und Passwort-Tresoren;
- Deaktivierung oder Umgehung von Antivirus-, EDR- und anderen Schutzmechanismen vor der Ransomware-Ausführung.
Der Einsatz legitimer RMM-Werkzeuge schafft eine Infrastruktur mit doppeltem Verwendungszweck: Der Angreifer-Traffic ähnelt regulären Administrationsaktivitäten, läuft verschlüsselt und über bekannte Dienste. Dadurch sinkt die Auffälligkeit im Netzwerk-Monitoring und klassische IOC-basierte Erkennung stößt rasch an ihre Grenzen.
Das kritische Patch-Fenster: wenn Schwachstellen zur Hochrisikophase werden
Storm-1175 illustriert deutlich, dass der Zeitraum zwischen Veröffentlichung einer Schwachstelle und breiter Patch-Installation zu einer Hochrisikophase geworden ist. Angreifer automatisieren Exploit-Entwicklung und -Einsatz inzwischen so stark, dass neue Security-Bulletins unmittelbar in Scans und Angriffsskripte einfließen. Viele erfolgreiche Ransomware-Vorfälle basieren weiterhin auf bereits bekannten, aber nicht geschlossenen Schwachstellen – ein Muster, das in Branchenreports seit Jahren beobachtet wird.
Für Unternehmen bedeutet dies: Vulnerability Management muss von einer rein jährlichen oder quartalsweisen Übung zu einem kontinuierlichen, priorisierten Prozess werden. Kritische internet-exponierte CVEs sollten anhand von Ausnutzbarkeit, Verfügbarkeit von Exploits und Geschäftsauswirkung bewertet und mit klaren Service-Levels für Tests und Rollout versehen werden.
Um das Risiko durch Gruppen wie Storm-1175 zu senken, sollten Organisationen ihre Angriffsoberfläche am Perimeter konsequent reduzieren, strikte Netzwerksegmentierung etablieren und den Einsatz von RMM-Software eng steuern – nur freigegebene Tools und bekannte Management-Server. Ergänzend sind verhaltensbasierte Analysen für Konten, Prozesse und Netzwerkverkehr entscheidend, um ungewöhnliche Aktivitäten frühzeitig zu erkennen. Regelmäßig geübte Incident-Response- und Ransomware-Playbooks verkürzen im Ernstfall den Weg von der Entdeckung zur Isolierung betroffener Systeme – und genau diese Zeit entscheidet darüber, ob Medusa Ransomware maximalen Schaden anrichtet oder frühzeitig gestoppt wird.
