Storm-1175 y el Ransomware Medusa: Análisis de un Ataque de Alta Velocidad
Análisis Storm-1175 y Medusa Ransomware
¿Quién es Storm-1175?
Storm-1175 es un actor cibercriminal de motivación financiera, con vínculos atribuidos a China por investigadores externos, que opera campañas de ransomware contra organizaciones con activos perimetrales expuestos. Su característica definitoria no es la sofisticación de sus herramientas —muchas de ellas son comerciales o de código abierto— sino la velocidad con la que convierte vulnerabilidades en acceso operativo.
El pasado 6 de abril, Microsoft Threat Intelligence documentó que el actor despliega ransomware en ventanas de entre 24 horas y 5 días tras el acceso inicial, un ritmo que invalida cualquier SLA de parcheo basado en ciclos semanales o quincenales. En al menos dos casos recientes (CVE-2025-10035 y CVE-2026-23760), Storm-1175 explotó vulnerabilidades una semana antes de su divulgación pública, lo que sugiere acceso a capacidades de desarrollo de exploits o a mercados de exploits previos a la divulgación.
Perfil de Storm-1175
Storm-1175 es la denominación de seguimiento asignada por Microsoft Threat Intelligence a un actor de amenazas con motivación financiera al que se le atribuyen vínculos con China. Su actividad documentada se extiende desde 2023 hasta la fecha de este análisis, con un enfoque consistente en organizaciones de los sectores salud, educación, servicios profesionales y finanzas en Australia, Reino Unido y Estados Unidos.
| Atributo | Descripción |
|---|---|
| Denominación | Storm-1175 |
| Motivación | Financiera (ransomware, doble extorsión) |
| Origen atribuido | China (análisis de terceros) |
| Operativo desde | Al menos 2023 |
| Ransomware desplegado | Medusa (RaaS) |
| Sectores objetivo | Salud, Educación, Servicios Profesionales, Finanzas |
| Geografías afectadas | Australia, Reino Unido, Estados Unidos |
| Velocidad de compromiso | 24 horas – 5 días (acceso inicial → despliegue de payload) |
El ransomware Medusa opera bajo un modelo Ransomware-as-a-Service (RaaS): sus desarrolladores proveen la infraestructura y la carga útil, mientras que los afiliados aportan las capacidades de intrusión. Storm-1175 se convirtió en el afiliado estrella del ecosistema Medusa al aportar algo que los ataques previos de Medusa no tenían: exfiltración masiva de datos. Antes de Storm-1175, los ataques de Medusa se limitaban al cifrado. Su incorporación transformó las operaciones en campañas de doble extorsión, donde la amenaza de filtración pública en el Data Leak Site (DLS) de la Dark Web añade una segunda capa de presión sobre las víctimas.
De Broker a Operador
Los indicadores disponibles sugieren que Storm-1175 comenzó operando como Initial Access Broker (IAB): un especialista en obtener y vender credenciales o puntos de apoyo inicial en redes corporativas. Esta función requiere exactamente las capacidades que lo caracterizan: escaneo masivo de superficie de ataque expuesta, explotación rápida de N-days y gestión de múltiples vectores de acceso simultáneos.
La transición al rol de afiliado operador de Medusa amplió su alcance. Ahora Storm-1175 no solo obtiene acceso, sino que ejecuta la cadena completa hasta el cifrado y la exfiltración, habilitando el modelo de doble extorsión característico del RaaS de Medusa:
- Extorsión primaria: Cifrado del entorno productivo, con demanda de rescate para entrega de la clave de descifrado.
- Extorsión secundaria: Exfiltración masiva previa al cifrado. Los datos robados se publican en el sitio de filtraciones de Medusa si la víctima no paga dentro del plazo establecido.
Esta combinación incrementa significativamente la presión sobre las organizaciones víctima: incluso aquellas con backups funcionales deben negociar para prevenir la exposición de datos sensibles.
Inventario de Explotación: N-Day y Zero-Day
Tabla de Vulnerabilidades Documentadas
Según Microsoft Threat Intelligence, desde 2023 Storm-1175 ha explotado más de 16 vulnerabilidades en sistemas orientados a la web:
| CVE | Plataforma / Producto | Tipo | Ventana de Explotación |
|---|---|---|---|
| CVE-2023-21529 | Microsoft Exchange Server | N-day | Días post-divulgación |
| CVE-2022-41080 | Microsoft Exchange (OWASSRF) | N-day | Encadenado con CVE-2022-41082 |
| CVE-2022-41082 | Microsoft Exchange (OWASSRF) | N-day | Encadenado con CVE-2022-41080 |
| CVE-2023-27350 | PaperCut NG/MF | N-day | Días post-divulgación |
| CVE-2023-27351 | PaperCut NG/MF | N-day | Días post-divulgación |
| CVE-2023-46805 | Ivanti Connect Secure / Policy Secure | N-day | Días post-divulgación |
| CVE-2024-21887 | Ivanti Connect Secure / Policy Secure | N-day | Encadenado con CVE-2023-46805 |
| CVE-2024-1709 | ConnectWise ScreenConnect | N-day | < 48 horas post-divulgación |
| CVE-2024-1708 | ConnectWise ScreenConnect | N-day | < 48 horas post-divulgación |
| CVE-2024-27198 | JetBrains TeamCity | N-day | Días post-divulgación |
| CVE-2024-27199 | JetBrains TeamCity | N-day | Días post-divulgación |
| CVE-2024-57726 | SimpleHelp RMM | N-day | Días post-divulgación |
| CVE-2024-57727 | SimpleHelp RMM | N-day | Días post-divulgación |
| CVE-2024-57728 | SimpleHelp RMM | N-day | Días post-divulgación |
| CVE-2025-31161 | CrushFTP | N-day | Días post-divulgación |
| CVE-2025-31324 | SAP NetWeaver | N-day | ~24 horas post-divulgación |
| CVE-2025-10035 | Fortra GoAnywhere MFT | Zero-Day | 1 semana antes de divulgación |
| CVE-2026-23760 | SmarterTools SmarterMail | Zero-Day | 1 semana antes de divulgación |
| CVE-2026-1731 | BeyondTrust | N-day | Días post-divulgación |
| Oracle WebLogic (sin CVE identificado) | Oracle WebLogic (Linux) | No identificado | Finales de 2024 |
La explotación de CVE-2025-31324 (SAP NetWeaver) en menos de 24 horas desde su divulgación el 24 de abril de 2025 representa el caso más extremo de explotacion operativa (weaponization) rápida documentado para este actor. Esto implica que Storm-1175 mantiene capacidad de monitoreo continuo de advisories de seguridad y pipelines automatizados de análisis de parches para desarrollar pruebas de concepto funcionales en horas, no días.
Análisis de Patch Diffing: La Ingeniería Inversa como Acelerador de Explotación
El grupo tiene un proceso documentado de patch diffing: ingeniería inversa de los parches de seguridad apenas son liberados por los fabricantes. Al comparar el binario antes y después del parche, es posible identificar exactamente qué código fue corregido y, por ende, cuál era la vulnerabilidad. Este proceso les permite crear exploits funcionales en cuestión de horas tras la divulgación, antes de que la mayoría de organizaciones hayan iniciado siquiera su ciclo de parcheo mensual.
El proceso típico sigue esta secuencia:
- Monitoreo de boletines de seguridad (NVD, CISA KEV, advisories de vendedores) para identificar divulgaciones críticas.
- Descarga inmediata de la versión parcheada y la versión vulnerable del software.
- Análisis diferencial usando herramientas como BinDiff, Diaphora o análisis estático con IDA Pro / Ghidra.
- Desarrollo del exploit a partir de la comprensión del vector de ataque revelado por el diff.
- Escaneo activo de internet para identificar instancias aún sin parchear.
En el caso de CVE-2026-23760 (SmarterMail), investigadores de watchTowr identificaron que la nueva vulnerabilidad zero-day explotada por Storm-1175 era similar en estructura a un fallo previamente corregido en el mismo producto —un patrón conocido como variant hunting.
Anatomia de la Intrusion
Fase 1 — Acceso Inicial
Storm-1175 obtiene acceso inicial exclusivamente a través de la explotación de aplicaciones orientadas a la web con vulnerabilidades conocidas (N-day) y vulnerabiidades desconocidas (zero-day): sistemas MFT, servidores de correo, herramientas RMM expuestas y plataformas de colaboración empresarial. Tras la explotación exitosa, despliega una web shell o un payload de acceso remoto ligero.
Fase 2 — Persistencia y Escalada de Privilegios
El actor crea una nueva cuenta de usuario local y la agrega inmediatamente al grupo de administradores:
net user [nombre_cuenta] [contraseña] /add
net localgroup administrators [nombre_cuenta] /add
Esta cuenta funciona como backdoor administrativo independiente del vector de acceso inicial, garantizando continuidad operativa incluso si la web shell es detectada y eliminada.
Fase 3 — Reconocimiento y Movimiento Lateral
Storm-1175 emplea un conjunto híbrido de herramientas para el movimiento lateral:
LOLBins documentados: PowerShell, PsExec, net.exe.
Herramientas RMM utilizadas: Atera RMM, N-able, Level RMM, DWAgent, MeshAgent, ConnectWise ScreenConnect, AnyDesk, SimpleHelp.
Tunneling encubierto: Un TTP particularmente relevante es el uso de Cloudflare Tunnel (cloudflared.exe) renombrado para imitar binarios legítimos del sistema operativo, como conhost.exe. Este binario establece un túnel cifrado hacia la infraestructura de Cloudflare, utilizado para pivoting mediante RDP y entrega de payloads adicionales. Si el RDP está bloqueado, Storm-1175 lo habilita explícitamente modificando las reglas del Firewall de Windows mediante comandos netsh.
Despliegue masivo: PDQ Deployer, herramienta legítima de despliegue de software empresarial, es reutilizada tanto para movimiento lateral como para la entrega final de ransomware.
Fase 4 — Robo de Credenciales
Storm-1175 implementa múltiples técnicas de extracción de credenciales:
- LSASS Memory Dump: Volcado del proceso
lsass.exemediante Task Manager o Impacket. - Mimikatz: Identificado en intrusiones de 2025 para extracción de credenciales WDigest.
- WDigest Cache Activation: Modificación de
HKLM\SYSTEM\...\WDigest\UseLogonCredentialpara forzar cacheo de credenciales en texto claro. - NTDS.dit extraction: Desde un Domain Controller comprometido, Storm-1175 extrae el archivo
NTDS.dit, que contiene los hashes de todas las cuentas del dominio Active Directory. - Veeam Credential Extraction: Script especializado para recuperar credenciales almacenadas en el software de backup Veeam, utilizadas directamente para el despliegue del ransomware.
- SAM hive extraction: Extracción del Security Account Manager para credenciales de cuentas locales.
Fase 5 — Evasión de Defensa
- Modificación del registro de Windows Defender: Alteración de claves que controlan la configuración de Microsoft Defender Antivirus.
- Exclusiones de antivirus vía PowerShell: Adición de la unidad
C:\completa a las exclusiones mediante comandos PowerShell codificados en Base64.
Fase 6 — Exfiltración
La exfiltración ocurre antes del cifrado, habilitando la doble extorsión:
- Bandizip: Empaquetado y compresión de datos previo a la transferencia.
- Rclone (renombrado como
lsp.exe): Sincronización de datos hacia almacenamiento en la nube controlado por el atacante. Rclone puede operar en modo de sincronización continua, exfiltrando datos en tiempo real sin interacción manual del operador.
Fase 7 — Impacto (Despliegue de Ransomware)
El despliegue del ransomware Medusa se realiza mediante dos mecanismos:
- PDQ Deployer + RunFileCopy.cmd: Script que entrega el payload Medusa a todos los hosts accesibles en la red.
- Group Policy Object (GPO): Cuando Storm-1175 ha comprometido un Domain Controller, crea o modifica un GPO para desplegar el ransomware simultáneamente en todos los equipos del dominio.
Referencias
- Microsoft Threat Intelligence — Storm-1175 focuses gaze on vulnerable web-facing assets (6 abril 2026)
- The Hacker News — China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware
- Dark Reading — Storm-1175, Medusa Ransomware, High Velocity
- CybersecurityNews — Microsoft Warns Storm-1175 Exploits Web-Facing Assets 0-Day Flaws
- CyberDefensa.mx — Storm-1175 vinculada a China aprovecha los días cero