Storm-1175 : la Chine déploie Medusa via des zero-days

8 avril 2026

•

Mis à jour le 24 mai 2026

•

5 min de lecture

•

584 mots

•

630 vues

•

Microsoft identifie Storm-1175, un acteur chinois qui exploite des zero-days dans SmarterMail et GoAnywhere MFT pour déployer le ransomware Medusa en moins de 24 heures.

En bref

Microsoft identifie Storm-1175, un acteur chinois déployant le ransomware Medusa en exploitant des zero-days dans SmarterMail et GoAnywhere MFT
Secteurs ciblés : santé, éducation, finance — principalement aux États-Unis, au Royaume-Uni et en Australie
Action requise : patcher SmarterMail (CVE-2026-23760) et GoAnywhere MFT (CVE-2025-10035) immédiatement

Les faits

Le 6 avril 2026, Microsoft a publié un rapport détaillé sur Storm-1175, un groupe cybercriminel basé en Chine spécialisé dans le déploiement du ransomware Medusa. Ce qui distingue cet acteur, c'est sa capacité à exploiter des vulnérabilités zero-day avant même leur divulgation publique. Selon Microsoft, Storm-1175 a exploité au moins trois failles zero-day, dont CVE-2026-23760 dans SmarterMail — un contournement d'authentification — et CVE-2025-10035 dans GoAnywhere MFT, une plateforme de transfert de fichiers très répandue en entreprise.

L'analyse de Microsoft révèle que Storm-1175 a exploité ces failles jusqu'à sept jours avant leur divulgation publique, selon le rapport publié sur le blog Microsoft Security. Le groupe opère avec un tempo opérationnel extrêmement élevé : de l'accès initial au déploiement du ransomware, il s'écoule parfois moins de 24 heures. Les outils utilisés incluent Bandizip pour la collecte de fichiers et Rclone pour l'exfiltration massive vers des ressources cloud contrôlées par l'attaquant.

Impact et exposition

Les organisations les plus touchées appartiennent aux secteurs de la santé, de l'éducation, des services professionnels et de la finance, principalement en Australie, au Royaume-Uni et aux États-Unis. Le ransomware Medusa avait déjà paralysé des hôpitaux américains ces derniers mois, confirmant une tendance d'escalade. Toute organisation utilisant SmarterMail ou GoAnywhere MFT en façade internet est potentiellement exposée. La rapidité d'exploitation — avant même la publication des CVE — rend les fenêtres de patch quasi inexistantes pour les équipes non préparées.

Ce qui inquiète particulièrement les analystes, c'est le brouillage entre espionnage étatique et cybercriminalité financière. Storm-1175 est un acteur lié à la Chine qui déploie un ransomware habituellement associé à des groupes purement criminels. Cette convergence des menaces étatiques et criminelles complique considérablement l'attribution et la réponse.

Recommandations

Appliquer immédiatement les correctifs pour SmarterMail (CVE-2026-23760) et GoAnywhere MFT (CVE-2025-10035)
Auditer les accès à vos services exposés sur internet — réduire la surface d'attaque en limitant les services accessibles publiquement
Surveiller les transferts de données inhabituels via Rclone ou outils similaires d'exfiltration cloud
Mettre en place une segmentation réseau stricte pour limiter les mouvements latéraux post-compromission

Alerte critique

Storm-1175 exploite les failles avant leur divulgation publique. Si vous utilisez SmarterMail ou GoAnywhere MFT, considérez que votre fenêtre de réaction est de quelques jours, pas de quelques semaines. Vérifiez vos logs dès maintenant et appliquez les hotfixes disponibles.

Comment savoir si mon organisation a été ciblée par Storm-1175 ?

Recherchez dans vos logs les connexions anormales sur vos instances SmarterMail ou GoAnywhere MFT, en particulier des requêtes API inhabituelles ou des authentifications réussies depuis des IP géolocalisées en Asie. Surveillez également toute activité Rclone ou transfert massif vers des services cloud non autorisés. Microsoft fournit des indicateurs de compromission (IoC) dans son rapport technique.

Pourquoi un acteur étatique chinois utilise-t-il un ransomware ?

La frontière entre espionnage et cybercriminalité s'estompe. Storm-1175 illustre une tendance où des acteurs liés à des États utilisent le ransomware soit comme couverture pour masquer de l'espionnage, soit comme source de revenus parallèle. Cette convergence rend l'attribution plus complexe et exige une posture de défense en profondeur plutôt qu'une simple réponse aux menaces connues.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit

Partager cet article

Twitter LinkedIn

À propos de l'auteur

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans d'expérience

700+

articles publiés

100+

missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Voir le profil complet Demander un devis

Ressources & Outils de l'auteur

GitHub

Code & projets open source

ORCID

Identifiant chercheur

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Articles connexes

Qilin attaque Semgrep : quand le ransomware cible les outils de DevSecOps

Le 22 mai 2026, Qilin a revendiqué une attaque contre Semgrep, l'éditeur américain de l'outil d'analyse statique open source utilisé par des milliers d'équipes de développement. Analyse d'un incident qui révèle la valeur stratégique des données des outils DevSecOps pour les cybercriminels.

24/05/2026

Qilin ransomware : la mairie de Quiberon refuse de payer, les données publiées

Le 3 mai 2026, la commune de Quiberon en Bretagne a subi une attaque ransomware revendiquée par Qilin. Le chiffrement des SI et l'exfiltration de données ont perturbé les services municipaux. La ville a refusé de payer la rançon, conformément aux recommandations des autorités françaises.

24/05/2026

CVE-2026-9082 : Drupal SQL injection sur PostgreSQL, 15 000 attaques en 48h

CVE-2026-9082 est une injection SQL sans authentification dans le cœur de Drupal ciblant les sites en PostgreSQL. Ajoutée au KEV CISA le 22 mai 2026, elle a généré plus de 15 000 tentatives d'exploitation contre 6 000 sites en 48 heures. Mise à jour vers 10.4.10 / 11.3.10 requise.

24/05/2026

Article précédent

Le Japon mise sur les robots IA face à la pénurie de travail

Article suivant

FrostArmada : APT28 détourne des routeurs pour voler vos

Besoin d'un expert ?

Un projet cybersécurité ? Parlons-en.

Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin.

Nous contacter

Commentaires (1)

Mathieu Renard 01/01/0001 à 00:00

Impressionnant le tempo de Storm-1175. Exploiter des 0-day une semaine avant la divulgation publique, ça veut dire que le patch management classique ne sert à rien contre eux. On est obligé de passer à du zero trust sur les assets exposés.

Laisser un commentaire