Grupo Storm-1175
Un grupo de investigadores de Microsoft descubrió a un grupo que se está expandiendo muy rápido, desplegando el ransomware Medusa para atacar sectores de salud y educación en diferentes países a nivel mundial, entre ellos Reino Unido, Estados Unidos de América y Australia, con un ritmo de explotación de vulnerabilidades igual o menor a 24 horas después de que se anuncian. También se sospecha que este grupo es responsable de la explotación de múltiples vulnerabilidades de día cero en diferentes organizaciones.
A diferencia de otros grupos que buscan mantenerse de forma discreta por en los sistemas que hayan vulnerado, Storm-1175 actúa de forma rápida, llegando a terminar sus trabajos de intrusión, exfiltración de información y despliegue de ransomware Medusa en unos pocos días, incluso en menos de 24 horas en algunos casos.
Storm-1175 ha tenido mucho éxito en sus ataques debido a la rapidez y el periodo de tiempo ideal que aprovechan, el cual se encuentra durante el anuncio de una vulnerabilidad y antes de la adopción de correcciones para la misma. La habilidad para explotar vulnerabilidades a meras horas de haber sido anunciadas demuestra un nivel de sofisticación poco común entre actores de amenaza conocidos, lo cual pone en riesgo a organizaciones que dependen de revisiones de seguridad tradicionales y lentas, un modelo de seguridad común.
Los investigadores de Microsoft también hicieron de conocimiento público algunas de las herramientas y vulnerabilidades que Storm-1175 emplea en sus ataques, tales como: CVE-2023-27351 (Papercut), CVE-2024-27198 (JetBrains) y la vulnerabilidad día cero: CVE-2026-23760 (SmarterMail) que comenzaron a explotar tiempo antes de que fuera anunciada. Entre las herramientas se encuentran AnyDesk y ConnectWise ScreenConnect para evadir la detección de movimiento lateral, Impacket para “credential dumping”, Rclone para exfiltración de información y PDQ Deployer para desplegar el ransomware Medusa. El grupo también aprovecha los privilegios obtenidos al ingresar a un sistema para desactivar medidas de seguridad como Microsoft Defender, editando el Registro de Windows para excluir las cargas del ransomware Medusa, así como excluir todo el disco C:\ para evitar levantar alertas.
El grupo Storm-1175 llamó mucho la atención debido a su rapidez para crear métodos de explotación de vulnerabilidades recién anunciadas y su descubrimiento de vulnerabilidades día cero tiempo antes de que se anuncien. Asimismo, destacó la necesidad de tener defensas en tiempo real, con validaciones continuas de los ambientes para identificar y corregir vectores de ataque antes de que éstos puedan ser explotados.
Taxonomía
| Tactic | ID | Name |
| Initial Access | T1190 | Exploit Public-Facing Application |
| Persistence | T1136 | Create Account |
| Credential Access | T1003.001 | LSASS Memory |
| Persistence, Lateral Movement | T1021 | Remote Services |
| T1021.001 | Remote Desktop Protocol | |
| Execution | T1059.001 | PowerShell |
| Exfiltration | TA0010 | Exfiltration |
| Defense evasion | T1562.001 | Disable or Modify Tools |
| T1211 | Exploitation for Defense Evasion | |
| Impact | T1486 | Data Encrypted for Impact |
Indicadores de compromiso
| IOC | Tipo |
| 185[.]135[.]86[.]149 | IP |
| 134[.]195[.]91[.]224 | IP |
| 85[.]155[.]186[.]121 | IP |
Recomendaciones
- Implementar correcciones en productos vulnerables lo antes posible.
- En caso de usar Windows Defender Antivirus, habilitar la protección ante modificaciones (“tamper protection”) y la opción “DisableLocalAdminMerge”.
- Aislar sistemas expuestos al internet detrás de un Web Application Firewall (WAF), servidor proxy y/o DMZ.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Ahmed, D. (2026, abril 8). Storm-1175 deploys medusa ransomware within 24 hours of flaw disclosure. HackRead. Recuperado el 09 de abril de 2026, en: https://hackread.com/storm-1175-hackers-24-hour-medusa-ransomware-flaw/
- Microsoft Threat Intelligence. (2026, abril 6). Storm-1175 focuses gaze on vulnerable web-facing assets in high-tempo Medusa ransomware operations . Microsoft Security Blog. Recuperado el 09 de abril de 2026, en: https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/
- Wright, R. (2026, abril 7). Storm-1175 Deploys Medusa Ransomware at «High Velocity». Dark Reading. Recuperado el 09 de abril de 2026, en: https://www.darkreading.com/threat-intelligence/storm-1175-medusa-ransomware-high-velocity
