China-Linked Storm-1175 Uses Zero-Days to Deploy Medusa Ransomware

Les faits

Storm-1175, un groupe lié à la Chine, a été observé en train de déployer le rançongiciel Medusa en exploitant à la fois des zero-days et des vulnérabilités connues. Les analystes lui attribuent une préférence pour les services exposés au périmètre : VPN mal configurés, consoles d'administration ou serveurs web non patchés. Dans plusieurs campagnes récentes, l'assaillant a enchaîné des failles pour obtenir un accès initial rapide puis a automatisé la phase suivante de compromission¹².

Leur mode opératoire suit une chaîne d'exécution récurrente. Après un scan massif du périmètre pour identifier des cibles potentielles, ils utilisent un ou plusieurs exploits (zero-day couplé à un N-day) pour gagner un accès initial. Une fois présents, les acteurs cherchent l'élévation de privilèges, procèdent au mouvement latéral et récoltent des identifiants et des données sensibles avant de lancer le chiffrement avec Medusa¹².

Sur le plan temporel, l'activité a nettement augmenté ces dernières semaines et le rythme observé au premier trimestre 2026 laisse peu de marge de manœuvre : dans des environnements insuffisamment protégés, la chaîne d'attaque peut aboutir en moins de 48 heures, de l'accès initial au chiffrement effectif¹².

Techniquement, la séquence type observée inclut :

Scan massif avec des outils comme Nmap pour recenser les services et leurs versions, par exemple nmap -p- --open -sV {IP}.
Utilisation combinée d'un zero-day non divulgué et d'un exploit public pour franchir l'entrée (RCE suivi parfois d'un contournement d'authentification).
Déploiement d'outils minimaux de maintien de présence, puis escalade vers des outils de type Cobalt Strike pour l'accès à distance, souvent téléchargés par des commandes PowerShell Invoke-WebRequest puis exécutés.
Exploration et harvesting d'identifiants avec scripts PowerShell et outils comme Mimikatz.
Exfiltration des jeux de données avant chiffrement et activation de Medusa pour la phase de double-extorsion¹².

Les signaux d'alerte récurrents relevés sur ces incidents comprennent du trafic chiffré vers des domaines C2 éphémères, l'exécution de PowerShell obfusqué, des tâches planifiées récemment créées pour la persistance et des suppressions de snapshots de sauvegarde. Ces éléments correspondent aux descriptions publiées par plusieurs équipes de sécurité et CERTs²³.

Contexte

L'association simultanée de zero-days et de N-days n'est pas nouvelle, mais Storm-1175 industrialise ces chaînes via des playbooks automatisés. Le groupe juxtapose des exploits non publiés avec des vulnérabilités bien connues pour maximiser la vitesse et le taux de réussite. Cette modularité permet d'adapter rapidement une campagne au profil de la victime et d'accélérer le "time-to-ransom"¹².

Medusa se distingue par sa modularité et ses capacités de double-extorsion. Les opérateurs peuvent combiner des modules d'exfiltration et des mécanismes de chiffrement robustes, puis activer des portails de négociation soigneusement orchestrés afin d'augmenter la pression sur la victime².

Le terrain d'exploitation reste toujours le même : accumulation de services exposés, configurations obsolètes, authentification faible et manque de segmentation. Un serveur non mis à jour ou des sauvegardes accessibles deviennent rapidement des points d'entrée et amplificateurs de dommages¹³.

Réactions et conséquences

Les CSIRT et les fournisseurs de sécurité ont diffusé des alertes techniques et des indicateurs de compromission. Les conseils pratiques convergent : corriger les systèmes exposés, vérifier l'intégrité et la disponibilité des sauvegardes, et durcir les accès privilégiés²³.

Impact immédiat pour les entreprises :

Indisponibilité soudaine de services critiques.
Risque de fuite de données sensibles et potentiels dossiers de mise en cause RGPD.
Coûts importants liés à la réponse, la restauration et les conséquences juridiques.

Conséquences opérationnelles et réputationnelles :

Perte de confiance des clients et partenaires.
Risques de rupture de SLAs et de pénalités contractuelles.
Hausse des primes d'assurance et exigences renforcées de contrôles externes.

Les équipes de sécurité doivent prioriser les actions suivantes, dans l'ordre :

Remédiation des vecteurs d'attaque identifiés : appliquer les correctifs critiques, fermer les services inutiles, et limiter l'exposition publique des interfaces d'administration²³.
Renforcement de l'authentification : imposer le MFA pour les comptes administratifs, désactiver ou auditer les accès VPN inactifs et supprimer les comptes par défaut.
Segmentation et principes de moindre privilège pour limiter la propagation interne.
Détection et surveillance continue : déployer ou affiner les règles EDR/NSM, corréler les logs et mettre en alerte les comportements inhabituels d'exfiltration et d'exécution PowerShell.
Plans de sauvegarde testés : garantir des sauvegardes immuables, isolées du réseau principal, et valider régulièrement les procédures de restauration²³.

Pour un SOC, les priorités opérationnelles immédiates incluent :

Rechercher des exécutions PowerShell obfusquées, connexions RDP suspectes et téléchargements d'outils non signés.
Examiner les tâches planifiées récentes, les modifications d'ACL et les suppressions de snapshots.
Isoler les hôtes compromis, collecter et préserver les logs pour une analyse forensique, puis enclencher les procédures d'escalade juridique et de notification.

Sur le plan légal et gouvernance, impliquez sans délai l'équipe juridique et préparez la documentation horodatée des événements. La traçabilité des actions techniques facilitera les interactions avec les autorités et limitera le risque réglementaire²³.

Recommandations pratiques pour réduire le risque

La posture défensive doit s'articuler autour de trois axes opérationnels : réduire la surface d'exposition, accélérer le patching et améliorer la détection comportementale. Des mesures concrètes à mettre en place :

Inventaire permanent des services exposés et réduction de la surface d'attaque.
Patch management accéléré pour les correctifs critiques et déploiement de compensations quand un correctif n'est pas disponible.
MFA systématique pour les accès administratifs, et gestion stricte des clés et comptes de service.
Observabilité renforcée : EDR, NSM, journalisation centralisée et corrélation via SIEM/UEBA.
Sauvegardes immuables et plans de reprise testés, avec isolation des copies de sauvegarde pour éviter leur suppression par l'attaquant²³.

Storm-1175 illustre qu'une chaîne d'exploitation automatisée restera une menace pour les organisations qui n'investissent pas dans la prévention et la détection. Réduire les services exposés, patcher rapidement et tester les plans de reprise restent les meilleures défenses pour limiter l'impact d'attaques à haute vitesse¹²³.

Questions fréquentes

Quelles sont les actions immédiates à mener si vous suspectez une compromission par Storm-1175 ?

Isoler les systèmes compromis, activer le plan d'intervention, collecter et sauvegarder les logs pour l'analyse forensique, couper les accès externes non essentiels, vérifier l'intégrité des sauvegardes immuables et prévenir l'équipe juridique et les autorités compétentes²³.

Comment détecter une exploitation zero-day avant qu'un correctif soit publié ?

S'appuyer sur la détection comportementale : surveiller exécutions de code inhabituelles, élévations de privilèges soudaines, mouvements latéraux et connexions vers domaines ou IP inhabituels. Corréler ces événements via EDR/UEBA et déployer règles heuristiques pour bloquer les patterns de post-exploitation connus².

Doit-on payer la rançon si Medusa chiffre nos systèmes ?

Le paiement n'offre aucune garantie sur la restauration complète ou sur la non-publication des données. La décision doit combiner une évaluation métier, juridique et technique. Priorisez la restauration depuis des sauvegardes immuables et consultez des experts pour évaluer les options².

Quelles mesures réduisent le plus le risque face aux attaques "high-velocity" ?

Réduction de la surface d'exposition, patch management accéléré, segmentation réseau, MFA obligatoire pour les accès administratifs, sauvegardes immuables testées et détection comportementale avancée (EDR/NSM) constituent les contrôles les plus efficaces²³.