Getty Images

Actualites

Storm-1175 : un spécialiste de l'exploitation de vulnérabilités au service de Medusa

L'acteur Storm-1175 déploie Medusa en moins de 24 heures via l'exploitation de vulnérabilités fraiches et des outils administratifs, menaçant les infrastructures critiques par le chiffrement et l'exfiltration de données.

Valéry Rieß-Marchive
par
Publié le: 07 avr. 2026

Le groupe criminel suivi par Microsoft sous la référence Storm-1175, mène des campagnes de rançongiciel Medusa caractérisées par une agilité opérationnelle redoutable. Contrairement aux acteurs traditionnels privilégiant la furtivité, cet acteur cible spécifiquement les actifs exposés sur Internet dans les secteurs de la santé, de l'éducation et des services financiers en Australie, au Royaume-Uni et aux États-Unis.

Le profil de menace se distingue par une fenêtre d'exécution extrêmement courte. « L'acteur cybercriminel motivé financièrement suivi par le renseignement de menaces Microsoft en tant que Storm-1175 mène des campagnes de rançongiciel à haute vélocité qui s'appuient sur des vulnérabilités très fraiches, ciblant les systèmes vulnérables et exposés sur le web pendant la fenêtre entre la divulgation de la vulnérabilité et l'adoption généralisée des correctifs ». Le passage de l'accès initial au déploiement du rançongiciel peut s'effectuer en une journée, voire en moins de 24 heures dans certains cas, créant un impératif de réactivité.

Une exploitation agressive des vulnérabilités pour une prise de contrôle rapide

La stratégie de Storm-1175 repose donc sur l'optimisation du délai entre la divulgation d'une vulnérabilité et l'application des correctifs par les victimes. Bien que l'acteur soit principalement actif sur des vulnérabilités de non-inédites, sa capacité à exploiter des failles jour-zéro avant même leur publication marque une évolution vers un modèle de renseignement avancé : « nous avons également observé Storm-1175 tirer parti d'exploits 0-day, dans certains cas une semaine complète avant la divulgation publique de la vulnérabilité », explique Microsoft.

L'acteur enchaîne parfois plusieurs vulnérabilités pour atteindre l'exécution de code à distance (RCE). Par exemple, la faille « OWASSRF » sur les serveurs Microsoft Exchange combine l'accès initial via la CVE-2022-41080 avec l'exécution de code à distance via la CVE-2022-41082. La liste des cibles est vaste, incluant des logiciels courants comme Papercut, Ivanti et JetBrains TeamCity : « storm-1175 fait tourner les exploits rapidement pendant la période entre la divulgation et la disponibilité du correctif ou son adoption, profitant de la période où de nombreuses organisations restent non protégées ».

La surface d'attaque n'est pas limitée aux environnements Windows. Des instances Linux, notamment Oracle WebLogic, ont été ciblées. De plus, des codes d'exploitation spécifiques pour SmarterMail (CVE-2026-23760) et GoAnywhere MFT (CVE-2025-10035) ont été observés une semaine avant leur divulgation officielle. Cette rapidité suggère un accès à des sources de renseignement sur les vulnérabilités ou des ressources d'exploitation sophistiquées.

Persistance furtive et mouvements latéraux via l'abus d'outils légitimes

Une fois l'accès initial obtenu, Storm-1175 établit une présence persistante en créant de nouveaux comptes administrateurs. Pour le déplacement dans le réseau, l'acteur utilise massivement des outils d'administration légitimes, rendant la détection par les solutions classiques difficile. « Storm-1175 dispose d'une rotation d'outils pour accomplir ces étapes d'attaque suivantes. Nous observons le plus couramment l'utilisation de binaires vivants du terrain (LOLBins), notamment PowerShell et PsExec, suivis par l'utilisation de tunnels Cloudflare », expliquent ainsi les équipes de Microsoft.

L'acteur exploite également une gamme d'outils de gestion à distance (RMM) utilisés par les services IT légitimes : Atera, PDQ Deployer et ConnectWise. PDQ Deployer est particulièrement redoutable car il permet l'installation silencieuse d'applications et le déploiement de charges utiles à l'échelle du parc.

L'impact de Medusa

Pour assurer la réussite de l'attaque, Storm-1175 active des tactiques de dissimulation défensive actives. L'acteur modifie les paramètres de registre de Microsoft Defender pour désactiver la protection contre les rançongiciels et ajoute des chemins d'exclusion pour la détection, comme le lecteur C:.

Le modèle économique de Medusa repose sur la double extorsion. Après le chiffrement des données, l'acteur procède à l'exfiltration massive en utilisant des outils de synchronisation comme Rclone et Bandizip pour transférer les données vers des clouds publics. Plus de 500 victimes ont été revendiquées par l'enseigne Medusa depuis son apparition début 2023. Elle s'est initialement distinguée par la publication d'aperçus vidéo des données volées. Fin août 2023, l'enseigne a été impliquée dans une cyberattaque contre la ville de Betton, en France.

En février dernier, Broadcom a estimé que « les attaques actuelles du ransomware Medusa sont sans aucun doute l’œuvre de Lazarus, nom générique désignant les activités soutenues par l’État nord-coréen ».

La réponse à cette menace requiert une approche défensive multicouche. La première d'entre elle est probablement la mise en place d'une gestion de surface d'attaque exposée (EASM) : c'est crucial pour identifier les actifs exposés affectés par une vulnérabilité avant que l'exploitation de cette dernière ne soit établie et publiquement connue.

Pour approfondir sur Menaces, Ransomwares, DDoS