Microsoft identifie Storm-1175, un acteur chinois qui exploite des zero-days dans SmarterMail et GoAnywhere MFT pour déployer le ransomware Medusa en moins de 24 heures.
En bref
- Microsoft identifie Storm-1175, un acteur chinois déployant le ransomware Medusa en exploitant des zero-days dans SmarterMail et GoAnywhere MFT
- Secteurs ciblés : santé, éducation, finance — principalement aux États-Unis, au Royaume-Uni et en Australie
- Action requise : patcher SmarterMail (CVE-2026-23760) et GoAnywhere MFT (CVE-2025-10035) immédiatement
Les faits
Le 6 avril 2026, Microsoft a publié un rapport détaillé sur Storm-1175, un groupe cybercriminel basé en Chine spécialisé dans le déploiement du ransomware Medusa. Ce qui distingue cet acteur, c'est sa capacité à exploiter des vulnérabilités zero-day avant même leur divulgation publique. Selon Microsoft, Storm-1175 a exploité au moins trois failles zero-day, dont CVE-2026-23760 dans SmarterMail — un contournement d'authentification — et CVE-2025-10035 dans GoAnywhere MFT, une plateforme de transfert de fichiers très répandue en entreprise.
L'analyse de Microsoft révèle que Storm-1175 a exploité ces failles jusqu'à sept jours avant leur divulgation publique, selon le rapport publié sur le blog Microsoft Security. Le groupe opère avec un tempo opérationnel extrêmement élevé : de l'accès initial au déploiement du ransomware, il s'écoule parfois moins de 24 heures. Les outils utilisés incluent Bandizip pour la collecte de fichiers et Rclone pour l'exfiltration massive vers des ressources cloud contrôlées par l'attaquant.
Impact et exposition
Les organisations les plus touchées appartiennent aux secteurs de la santé, de l'éducation, des services professionnels et de la finance, principalement en Australie, au Royaume-Uni et aux États-Unis. Le ransomware Medusa avait déjà paralysé des hôpitaux américains ces derniers mois, confirmant une tendance d'escalade. Toute organisation utilisant SmarterMail ou GoAnywhere MFT en façade internet est potentiellement exposée. La rapidité d'exploitation — avant même la publication des CVE — rend les fenêtres de patch quasi inexistantes pour les équipes non préparées.
Ce qui inquiète particulièrement les analystes, c'est le brouillage entre espionnage étatique et cybercriminalité financière. Storm-1175 est un acteur lié à la Chine qui déploie un ransomware habituellement associé à des groupes purement criminels. Cette convergence des menaces étatiques et criminelles complique considérablement l'attribution et la réponse.
Recommandations
- Appliquer immédiatement les correctifs pour SmarterMail (CVE-2026-23760) et GoAnywhere MFT (CVE-2025-10035)
- Auditer les accès à vos services exposés sur internet — réduire la surface d'attaque en limitant les services accessibles publiquement
- Surveiller les transferts de données inhabituels via Rclone ou outils similaires d'exfiltration cloud
- Mettre en place une segmentation réseau stricte pour limiter les mouvements latéraux post-compromission
Alerte critique
Storm-1175 exploite les failles avant leur divulgation publique. Si vous utilisez SmarterMail ou GoAnywhere MFT, considérez que votre fenêtre de réaction est de quelques jours, pas de quelques semaines. Vérifiez vos logs dès maintenant et appliquez les hotfixes disponibles.
Comment savoir si mon organisation a été ciblée par Storm-1175 ?
Recherchez dans vos logs les connexions anormales sur vos instances SmarterMail ou GoAnywhere MFT, en particulier des requêtes API inhabituelles ou des authentifications réussies depuis des IP géolocalisées en Asie. Surveillez également toute activité Rclone ou transfert massif vers des services cloud non autorisés. Microsoft fournit des indicateurs de compromission (IoC) dans son rapport technique.
Pourquoi un acteur étatique chinois utilise-t-il un ransomware ?
La frontière entre espionnage et cybercriminalité s'estompe. Storm-1175 illustre une tendance où des acteurs liés à des États utilisent le ransomware soit comme couverture pour masquer de l'espionnage, soit comme source de revenus parallèle. Cette convergence rend l'attribution plus complexe et exige une posture de défense en profondeur plutôt qu'une simple réponse aux menaces connues.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Docker CVE-2026-34040 : contournement AuthZ et accès hôte
CVE-2026-34040 permet de contourner les plugins AuthZ Docker via des requêtes surdimensionnées et créer des conteneurs privilégiés avec accès hôte.
FrostArmada : APT28 détourne des routeurs pour voler vos identifiants
APT28 a compromis des milliers de routeurs MikroTik et TP-Link via la campagne FrostArmada pour détourner le DNS et voler des identifiants Microsoft 365.
Le Japon mise sur les robots IA face à la pénurie de travail
Le Japon déploie massivement des robots IA pour pallier un déficit de 11 millions de travailleurs d'ici 2040. Le METI vise 30 % du marché mondial de l'IA physique.
Commentaires (1)
Laisser un commentaire