Storm-1175 centra la atención en activos vulnerables que se conectan a la web en operaciones de ransomware Medusa de alta velocidad

Por: Microsoft Threat Intelligence.

El actor cibercriminal con motivación financiera, rastreado por Microsoft Threat Intelligence, conocido como Storm-1175, opera campañas de ransomware de alta velocidad que utilizan N-days como arma, para atacar sistemas vulnerables y conectados a la web durante el periodo entre la divulgación de vulnerabilidades y la adopción generalizada de parches. Tras una explotación exitosa, Storm-1175 pasa con rapidez del acceso inicial a la exfiltración de datos y el despliegue del ransomware Medusa, a menudo en pocos días y, en algunos casos, en 24 horas. El alto ritmo operativo del actor amenazante y su destreza en la identificación de activos perimetrales expuestos han resultado exitosos, con intrusiones recientes que han afectado de manera importante a organizaciones sanitarias, así como a los sectores de educación, servicios profesionales y finanzas en Australia, Reino Unido y Estados Unidos.

El ritmo de las campañas de Storm-1175 es posible gracias al uso constante de vulnerabilidades reveladas de manera reciente por parte del actor amenazante para obtener acceso inicial. Aunque el actor de la amenaza suele utilizar vulnerabilidades de N-day, también hemos observado que Storm-1175 aprovecha exploits de día cero, en algunos casos una semana antes de la divulgación pública de vulnerabilidades. También se ha observado que el actor amenazante encadena múltiples exploits para permitir actividades posteriores al compromiso. Tras el acceso inicial, Storm-1175 establece persistencia al crear nuevas cuentas de usuario, despliega diversas herramientas, incluido software de monitorización y gestión remota para movimientos laterales, realiza robos de credenciales y manipula soluciones de seguridad antes de desplegar ransomware en todo el entorno comprometido.

En esta entrada del blog, profundizamos en las técnicas de ataque atribuidas a Storm-1175 durante varios años. Aunque la metodología de Storm-1175 se alinea con las tácticas, técnicas y procedimientos (TTPs) de muchos actores de ransomware rastreados, el análisis de sus tácticas posteriores al compromiso proporciona información esencial sobre cómo las organizaciones pueden reforzarse y defenderse contra atacantes como Storm-1175, para informar oportunidades para interrumpir a los atacantes incluso si han tenido acceso inicial a una red.

La cadena de ataques rápidos de Storm-1175: Desde el acceso inicial hasta el impacto

Explotación de activos vulnerables que se conectan a la web

Storm-1175 utiliza con rapidez vulnerabilidades reveladas de manera reciente para obtener acceso inicial. Desde 2023, Microsoft Threat Intelligence ha observado la explotación de más de 16 vulnerabilidades, incluidas:

• CVE-2023-21529 (Microsoft Exchange)
• CVE-2023-27351 y CVE-2023-27350 (Papercut)
• CVE-2023-46805 y CVE-2024-21887 (Ivanti Connect Secure y Policy Secure)
• CVE-2024-1709 y CVE-2024-1708 (ConnectWise ScreenConnect)
• CVE-2024-27198 y CVE-2024-27199 (JetBrains TeamCity)
• CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728 (SimpleHelp)
• CVE202531161 (CrushFTP)
• CVE-2025-10035 (GoAnywhere MFT)
• CVE-2025-52691 y CVE-2026-23760 (SmarterMail)
• CVE-2026-1731 (BeyondTrust)

Storm-1175 rota exploits con rapidez durante el tiempo entre la divulgación y la disponibilidad o adopción de parches, para aprovechar el periodo en que muchas organizaciones permanecen sin protección. En algunos casos, Storm-1175 ha convertido exploits como armas para vulnerabilidades reveladas en tan solo un día, como ocurrió con CVE-2025-31324 que afectó a SAP NetWeaver: el problema de seguridad se reveló el 24 de abril de 2025, y observamos la explotación de Storm-1175 poco después, el 25 de abril.

En múltiples intrusiones, Storm-1175 ha encadenado exploits para permitir actividades posteriores al compromiso como la ejecución remota de código (RCE, por sus siglas en inglés). Por ejemplo, en julio de 2023, Storm-1175 explotó dos vulnerabilidades que afectaban a los Microsoft Exchange Servers locales, denominadas «OWASSRF» por investigadores públicos: la explotación de CVE202241080 proporcionaba acceso inicial exponiendo Exchange PowerShell a través de Outlook Web Access (OWA), y Storm-1175 explotó de manera posterior CVE202241082, para lograr la ejecución remota de código.

Storm-1175 también ha demostrado capacidad para atacar sistemas Linux: a finales de 2024, Microsoft Threat Intelligence identificó la explotación de instancias vulnerables de Oracle WebLogic en múltiples organizaciones, aunque no pudimos identificar la vulnerabilidad exacta que se explotaba en estos ataques.

Por último, también hemos observado el uso de al menos tres vulnerabilidades zero-day, incluida, de manera más reciente, CVE-2026-23760 en SmarterMail, que fue explotado por Storm-1175 la semana anterior a la divulgación pública, y CVE-2025-10035 en GoAnywhere Managed File Transfer, también explotado una semana antes de su divulgación pública. Aunque estos ataques más recientes demuestran una capacidad de desarrollo evolucionada o un nuevo acceso a recursos como brokers de exploits para Storm-1175, cabe destacar que GoAnywhere MFT ha sido antes objetivo de atacantes de ransomware, y que la vulnerabilidad de SmarterMail  era similar a un fallo antes revelado; estos factores pueden haber facilitado la posterior actividad de explotación de día cero por parte de Storm-1175,  que aprovecha de manera principal las vulnerabilidades de los días N. En cualquier caso, a medida que los atacantes son cada vez más hábiles para identificar nuevas vulnerabilidades, comprender su huella digital —como mediante el uso de interfaces públicas de escaneo como Microsoft Defender External Attack Surface Management— es esencial para defenderse contra ataques a redes perimetrales.

Persistencia encubierta y movimiento lateral

Durante la explotación, Storm-1175 suele crear una web shell o soltar una carga útil de acceso remoto para establecer su presencia inicial en el entorno. A partir de este momento, Microsoft Threat Intelligence ha observado que Storm-1175 pasó del acceso inicial al despliegue de ransomware en tan solo un día, aunque muchos de los ataques del actor se han producido en un periodo de cinco a seis días.

En el dispositivo comprometido en un inicio, el actor de la amenaza a menudo establece persistencia a través de la creación de un nuevo usuario y de añadir a ese usuario al grupo de administradores:

A partir de esta cuenta, Storm-1175 inicia su actividad de reconocimiento y movimiento lateral. Storm-1175 cuenta con una rotación de herramientas para realizar estas fases de ataque posteriores. Lo más habitual es observar el uso de binarios que viven de la tierra (LOLBins), incluidos PowerShell y PsExec, seguidos por el uso de túneles Cloudflare (renombrados para imitar binarios legítimos como conhost.exe) para moverse de manera lateral sobre el Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) y entregar cargas útiles a nuevos dispositivos. Si el RDP no está permitido en el entorno, se ha observado que Storm-1175 utiliza privilegios de administrador para modificar la política del Cortafuegos de Windows y habilitar el Escritorio Remoto.

Storm-1175 también ha demostrado una fuerte dependencia de herramientas de monitorización y gestión remota (RMM, por sus siglas en inglés) durante la actividad posterior a la concesión. Desde 2023, Storm-1175 ha utilizado múltiples RMM, incluidos:

• Atera RMM
• Nivel RMM
• N-able
• DWAgent
• MeshAgent
• ConnectWise ScreenConnect
• AnyDesk
• SimpleHelp

Aunque suelen ser utilizadas por equipos de TI empresariales, estas herramientas RMM cuentan con funcionalidades multifacéticas que también podrían permitir a los adversarios mantener la persistencia en una red comprometida, crear nuevas cuentas de usuario, habilitar un método alternativo de comando y control (C2), entregar cargas útiles adicionales o usarlas como una sesión interactiva de escritorio remoto.

En muchos ataques, Storm-1175 depende de PDQ Deployer, una herramienta legítima de despliegue de software que permite a los administradores de sistemas instalar aplicaciones de forma silenciosa, tanto para el movimiento lateral como para la entrega de cargas útiles, incluido el despliegue de ransomware en toda la red.

Además, Storm-1175 ha aprovechado Impacket para movimientos laterales. Impacket es un conjunto de clases de Python de código abierto diseñadas para trabajar con protocolos de red, y es popular entre sus adversarios debido a su facilidad de uso y amplia gama de capacidades. Microsoft Defender for Endpoint tiene una regla dedicada de reducción de superficie de ataque para defenderse contra técnicas de movimiento lateral utilizadas por Impacket: crear procesos de bloque originados en comandos PSExec y WMI); proteger las vías de movimiento lateral también puede mitigar el Impacket.

Robo de credenciales

Impacket se utiliza además para facilitar el volcado de credenciales a través de LSASS; el actor amenazante también aprovechó la herramienta de robo de credenciales de mercancías Mimikatz para identificar intrusiones en 2025. Además, Storm-1175 ha utilizado técnicas conocidas de vivir de la tierra para robar credenciales, como modificar la entrada del registro UseLogonCredential para activar la caché de credenciales WDigest, o usar el Administrador de tareas para volcar las credenciales LSASS; para ambas técnicas de ataque, el actor de la amenaza debe obtener privilegios administrativos locales para modificar estos recursos. La regla de reducción de superficie de ataque para bloquear el robo de credenciales de LSASS puede limitar la efectividad de este tipo de ataque y, en un sentido más amplio, limitar el uso de derechos de administrador local por parte de los usuarios finales. Asegurarse de que las contraseñas de administrador local no se compartan a través del entorno también puede reducir el riesgo de estas técnicas de volcado LSASS.

También hemos observado que, tras obtener las credenciales de administrador, Storm-1175 ha utilizado un script para recuperar contraseñas del software de respaldo Veeam, que se utiliza para conectarse a hosts remotos, para permitir así el despliegue de ransomware en sistemas conectados adicionales.

Con suficientes privilegios, Storm-1175 puede entonces usar herramientas como PsExec para pivotar a un Controlador de Dominio, donde ha accedido al volcado NTDS.dit, una copia de la base de datos de Active Directory que contiene datos de usuario y contraseñas que pueden ser descifradas sin conexión. Esta posición privilegiada también ha otorgado a Storm-1175 acceso al gestor de cuentas de seguridad (SAM, por sus siglas en inglés), que proporciona configuración y ajustes de seguridad detallados, lo que permite al atacante comprender y manipular el entorno del sistema a una escala mucho mayor.

Manipulación de seguridad para la entrega de ransomware

Storm-1175 modifica la configuración de Microsoft Defender Antivirus almacenada en el registro para manipular el software antivirus y evitar que bloquee cargas útiles de ransomware; para lograr esto, un atacante debe tener acceso a cuentas con altos privilegios que puedan modificar el registro de manera directa. Por esta razón, priorizar las alertas relacionadas con el robo de credenciales, que por lo general indican un atacante activo en el entorno, es esencial para responder a señales de ransomware y evitar que los atacantes obtengan acceso privilegiado a la cuenta.

Storm-1175 también ha utilizado comandos PowerShell codificados para añadir la  unidad C:\ a la ruta de exclusión del antivirus, lo que impide que la solución de seguridad escanee la unidad y permite que las cargas útiles se ejecuten sin alertas. Los defensores pueden reforzar estas técnicas a través de combinar la protección contra manipulaciones con la configuración DisableLocalAdminMerge, que impide que los atacantes utilicen privilegios de administrador local para establecer exclusiones antivirus.

Exfiltración de datos y despliegue de ransomware

Como otras  ofertas de ransomware como servicio (RaaS), Medusa ofrece un sitio de filtraciones para facilitar operaciones de doble extorsión para sus afiliados: los atacantes no solo cifran datos, sino que los roban y los retienen como rehenes, para después amenazar con filtrar los archivos de manera pública si no se paga el rescate. Con ese fin, Storm-1175 suele usar Bandizip para recopilar archivos y Rclone para la exfiltración de datos. Herramientas de sincronización de datos como Rclone permiten a los actores amenazantes transferir con facilidad grandes volúmenes de datos a un recurso en la nube propiedad de un atacante remoto. Estas herramientas también proporcionan capacidades de sincronización de datos, al mover archivos recién creados o actualizados a recursos en la nube en tiempo real para permitir una exfiltración continua en todas las etapas del ataque sin necesidad de interacción del atacante.

Por último, tras haber conseguido suficiente acceso a toda la red, Storm-1175 utiliza con frecuencia PDQ Deployer para lanzar un script (RunFileCopy.cmd) y entregar cargas útiles de ransomware Medusa. En algunos casos, Storm-1175 ha utilizado de manera alternativo acceso con altos privilegios para crear una actualización de la Política de Grupo que despliegue ransomware de forma generalizada.

Directrices de mitigación y protección

Para defenderse de los TTP Storm-1175 y actividades similares, Microsoft recomienda las siguientes medidas de mitigación:

• Utilizar una herramienta de escaneo perimetral como Microsoft Defender External Attack Surface Management para entender la huella digital y la superficie potencial de ataque de tu organización. Atacar vulnerabilidades que se enfrentan a la web sigue como uno de los métodos de ataque más efectivos para el acceso inicial.
• Asegurarse de que cualquier sistema orientado a la web esté aislado de la red pública con un límite de red seguro y accede a ellos mediante una red privada virtual (VPN, por sus siglas en inglés). Si ciertos servidores deben ser accesibles en internet público, colóquenlos detrás de un cortafuegos de aplicaciones web (WAF, por sus siglas en inglés), un proxy inverso o una red perimetral (también conocida como DMZ), lo que puede reducir el riesgo de explotación de vulnerabilidades en algunos casos.
• Sigan las directrices sobre defensa contra ransomware en la entrada del blog de Microsoft sobre ransomware como servicio, que detalla cómo mejorar la higiene de credenciales así como cómo limitar el movimiento lateral a través del principio de menor privilegio.
• Implementar Credential Guard, una característica de seguridad crítica que protege las credenciales almacenadas en la memoria del proceso, en la lsass.exe de procesos LSA. Credential Guard está activado por defecto en Windows 11. Sin embargo, si Credential Guard estaba deshabilitado de manera previa en un dispositivo, actualizar un dispositivo a Windows 11 no anula esa configuración, y Credential Guard tendrá que volver a activarse. Además, Credential Guard debe estar habilitado antes de que un dispositivo se una a un dominio o antes de que un usuario de dominio inicie sesión por primera vez. Si Credential Guard está habilitado tras la unión al dominio, los secretos de usuario y dispositivo pueden estar ya comprometidos. Credential Guard puede activarse mediante la Política de Grupo, el registro o Microsoft Intune.
• Activar las funciones de protección contra manipulaciones a nivel de inquilino  para evitar que los atacantes detengan los servicios de seguridad o utilicen exclusiones antivirus. Sin protección contra manipulaciones, los atacantes podrían tan solo desactivar el Antivirus Microsoft Defender sin necesidad de obtener mayores privilegios.
  • Los clientes que ejecutan Intune o Microsoft Defender para la Configuración de Seguridad de Endpoints pueden activar DisableLocalAdminMerge para evitar la modificación de exclusiones antivirus mediante GPO.  
  • Además de la protección contra manipulaciones, también pueden activar y configurar la protección siempre activa de Microsoft Defender Antivirus en la Directiva de Grupo.
  • Si hay un problema con un dispositivo durante el despliegue de varias funciones antivirus, el dispositivo puede colocarse en modo de solución de problemas para desactivar de manera temporal la Protección contra Manipulaciones sin afectar la política de seguridad organizacional en general.
• Para los sistemas RMM aprobados usados en tu entorno, aplicar ajustes de seguridad siempre que sea posible para implementar MFA. Si se detecta una instalación RMM no aprobada en su red, restablezcan las contraseñas de las cuentas usadas para instalar los servicios RMM. Si se utilizó una cuenta a nivel de sistema para instalar el software, puede ser necesario investigar más a fondo.
• Configurar la interrupción automática de ataques en Microsoft Defender XDR. La interrupción automática de ataques está diseñada para contener los ataques en curso, limitar el impacto en los activos de una organización y proporcionar más tiempo a los equipos de seguridad para remediar completamente el ataque.
• Los clientes de Microsoft Defender XDR pueden activar las reglas de reducción de superficie de ataque para prevenir técnicas de ataque comunes usadas en ataques de ransomware:
  • Robo de credenciales de bloqueo del subsistema de autoridad de seguridad local de Windows (lsass.exe)
  • Ejecución por bloques de scripts potencialmente ofuscados
  • Creación de Block Webshell para servidores
  • Bloquear creaciones de procesos originadas a partir de comandos PSExec y WMI (Algunas organizaciones pueden experimentar problemas de compatibilidad con esta regla en ciertos sistemas de servidor, pero deberían desplegarla en otros sistemas para evitar movimientos laterales provenientes de PsExec y WMI).
  • Ejecución por bloques de scripts en potencia ofuscados
  • Uso por bloques de herramientas del sistema copiadas o suplantadas
  • Utilizar protección avanzada contra ransomware

Detecciones de Microsoft Defender

Los clientes de Microsoft Defender pueden consultar la lista de detecciones aplicables a continuación. Microsoft Defender coordina la detección, prevención, investigación y respuesta entre terminales, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques como la amenaza que se discute en este blog.

Táctica	Actividad observada	Cobertura de Microsoft Defender
Acceso inicial	Storm-1174 explota aplicaciones vulnerables orientadas a la web	Microsoft Defender for Endpoint – Actor amenazante vinculado a ransomware detectado – Posible explotación de vulnerabilidad de software Beyond Trust – Posible explotación de vulnerabilidad de GoAnywhere MFT – Posible explotación de vulnerabilidad de SAP NetWeaver Posible explotación de la vulnerabilidad TeamCity de JetBrain – Ejecución de comandos sospechosos vía ScreenConnect – Servicio sospechoso lanzado
Persistencia y escalada de privilegios	Storm-1175 crea nuevas cuentas de usuario bajo grupos administrativos con el  comando net	Microsoft Defender para Endpoint – Cuenta de usuario creada en circunstancias sospechosas – Nuevo administrador local añadido por medio de comandos de red – Nuevo grupo añadido de forma sospechosa – Creación de cuenta sospechosa – Manipulación sospechosa de cuentas de Windows – Búsquedas anómalas de cuentas
Robo de credenciales	Storm-1175 vuelca credenciales de LSASS o utiliza una posición privilegiada del Controlador de Dominio para acceder a NTDS.dit y a la colmena SAM	Microsoft Defender Antivirus– Comportamiento: Win32/SAMDumpz Microsoft Defender for Endpoint – Credenciales expuestas en riesgo de compromiso – Credenciales de cuenta comprometidas – Volcado de memoria del proceso
Persistencia, movimiento lateral	Storm-1175 utiliza herramientas RMM para persistencia, entrega de carga útil y movimiento lateral	Microsoft Defender para Endpoint – Actividad sospechosa de Atera – Archivo eliminado y lanzado desde una ubicación remota
Ejecución	Storm-1175 ofrece herramientas como PsExec o utiliza LOLbins como PowerShell para realizar actividades posteriores a compromisos	Microsoft Defender Antivirus – Comportamiento: Win32/Psexec Microsoft Defender remoto Microsoft Defender para endpoint – Ataque manual con teclado que involucra múltiples dispositivos – Software de acceso remoto – Línea de comandos sospechosa de PowerShell – Descarga sospechosa de PowerShell o ejecución codificada de comandos – Actor amenazante vinculado a ransomware detectado
Exfiltración	Storm-1175 utiliza la herramienta de sincronización Rclone para robar documentos	Microsoft Defender para Endpoint – Posible actividad maliciosa operada por humanos – Renombramiento de herramientas legítimas para posible exfiltración de datos – Posible exfiltración de datos – Intento oculto de lanzamiento de herramienta de doble uso
Evasión de defensa	Storm-1175 desactiva Windows Defender	Microsoft Defender para Endpoint – Emisión de detección de Defender – Intento de desactivar la protección antivirus de Microsoft Defender
Impacto	Storm-1175 despliega el ransomware Medusa	Microsoft Defender Antivirus – Rescate: Win32/Medusa Microsoft Defender para Endpoint – Posible actividad de ransomware basada en una extensión maliciosa conocida – Posible cuenta de usuario comprometida que entrega archivos relacionados con ransomware – Activos en potencia comprometidos que exhiben comportamientos similares a ransomware – Comportamiento de ransomware detectado en el sistema de archivos – Archivo lanzado y lanzado desde una ubicación remota

Microsoft Security Copilot

Microsoft Security Copilot está integrado en Microsoft Defender y proporciona a los equipos de seguridad capacidades impulsadas por IA para resumir incidentes, analizar archivos y scripts, resumir identidades, usar respuestas guiadas y generar resúmenes de dispositivos, consultas de búsqueda e informes de incidentes.

Los clientes también pueden desplegar agentes de IA, incluidos los siguientes agentes de Microsoft Security Copilot, para realizar tareas de seguridad de forma eficiente:

• Agente de Informe de Inteligencia de Amenazas
• Agente de triaje de phishing
• Agente de caza de amenazas
• Agente dinámico de detección de amenazas

Security Copilot también está disponible como una experiencia independiente donde los clientes pueden realizar tareas específicas relacionadas con la seguridad, como la investigación de incidentes, el análisis de usuarios y la evaluación del impacto en vulnerabilidades. Además, Security Copilot ofrece escenarios para desarrolladores que permiten a los clientes crear, probar, publicar e integrar agentes y plugins de IA para satisfacer necesidades de seguridad únicas.

Informes de inteligencia sobre amenazas

Los clientes de Microsoft Defender XDR pueden utilizar los siguientes informes de análisis de amenazas en el portal Defender (requiere licencia para al menos un producto Defender XDR) para obtener la información más actualizada sobre el actor de la amenaza, la actividad maliciosa y las técnicas discutidas en este blog. Estos informes proporcionan la inteligencia, la información de protección y las acciones recomendadas para prevenir, mitigar o responder a las amenazas asociadas encontradas en los entornos de los clientes.

• Perfil del actor: Storm-1175
• Perfil de herramienta: ransomware Medusa
• Perfil general de amenazas: ransomware operado por humanos  

Indicadores de compromiso

Los siguientes indicadores se recopilan de los ataques identificados de Tormenta-1175 durante 2026.

Indicador	Tipo	Descripción	Primera aparición	Última vez vista
0cefeb6210b7103fd32b996beff518c9b6e1691a97bb1cda7f5fb57905c4be96	SHA-256	Gaze.exe (Ransomware Medusa)	2026-03-01	2026-03-01
9632d7e4a87ec12fdd05ed3532f7564526016b78972b2cd49a610354d672523c *Tengan en cuenta que también hemos visto este hash en intrusiones de ransomware por parte de otros actores amenazantes desde 2024	SHA-256	lsp.exe (Rclone)	2024-04-01	2026-02-18
e57ba1a4e323094ca9d747bfb3304bd12f3ea3be5e2ee785a3e656c3ab1e8086	SHA-256	main.exe (SimpleHelp)	2026-01-15	2026-01-15
5ba7de7d5115789b952d9b1c6cff440c9128f438de933ff9044a68fff8496d19	SHA-256	moon.exe (SimpleHelp)	2025-09-15	2025-09-22
185.135.86[.]149	IP	SimpleHelp C2	2024-02-23	2026-03-15
134.195.91[.]224	IP	SimpleHelp C2	2024-02-23	2026-02-26
85.155.186[.]121	IP	SimpleHelp C2	2024-02-23	2026-02-12

Referencias

• Los atacantes con descompiladores vuelven a atacar (SmarterTools SmarterMail WT-2026-0001 Bypass de autenticación)
• OWASSRF: CrowdStrike identifica un nuevo método de exploit para eludir Exchange las mitigaciones de ProxyNotShell

Más información

Para la más reciente investigación en seguridad de la comunidad de Inteligencia de Amenazas de Microsoft, consulten el blog de Inteligencia de Amenazas de Microsoft.

Para recibir notificaciones sobre nuevas publicaciones y participar en debates en redes sociales, síganos en LinkedIn, X (antes Twitter) y Bluesky.

Para escuchar historias y opiniones de la comunidad de Microsoft Threat Intelligence sobre el panorama de amenazas en constante evolución, escuchen el podcast Microsoft Threat Intelligence.